密码cuteftp

cuteftp  时间:2021-03-03  阅读:()
发布时间:2015年9月28日16时疯狂的窃密者——TEPFER安天安全研究与应急处理中心(AntiyCERT)疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页目录1概述.
12样本标签.
13代码分析.
14TEPFER窃取的密码类型65总结.
7附录一:关于安天.
8疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第1页1概述近期,安天CERT(安全研究与应急处理中心)研究人员发现木马家族Tepfer较为活跃,"中文名:小马(Pony)".
该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种.
Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.
dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.
dat文件窃取比特币信息.
Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法.
该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站.
2样本标签病毒名称Trojan[PSW]/Win32.
Tepfer原始文件名blow.
exeMD5D8C177781BA316966CE0567253C67CE1处理器架构X86-32文件大小84.
5KB(86,528字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015-05-2722:44:00数字签名NO加壳类型无编译语言BorlandDelphiv6.
0-v7.
0VT首次上传时间2015-06-19VT检测结果39/573代码分析Tepfer使用Push/Retn来代替正常跳转call[地址],这种方法在Tepfer代码中使用的次数非常多.
如下图,将地址0040F310压入栈中,使用retn跳转到地址0040F310处;而正常程序通常直接使用call0040F310.
疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页图1使用Push/Retn来代替正常跳转call[地址]Tepfer具有对抗卡巴斯基启发式的功能:图2对抗卡巴斯基启发式Tepfer检查自身是否运行在调试环境中,如果是,则退出.
获取系统SID后,提升自身权限,如果不成功则遍历系统进程,查找explorer.
exe进程,模拟用户登陆操作,如果成功则直接获取系统用户名,同时获取系统版本及操作系统类型及用户所在的国家.
同时向注册表项HKEY_CURRENT_USER\Software\WinRAR中,添加键"HWID",值为{70D82799-6E6E-483B-B515-DF854CEB107F}.
"HWID"键及键值用于回传的信息中.
图3添加注册表键值疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第3页Tepfer在检测系统中安装了哪些FTP软件、浏览器、工具,以及窃取密码所用的方法上非常具体,可以看出恶意代码作者进行了大量的信息收集、资料整理、账号密码存放位置的研究等工作,熟悉各种网页、数据库、邮箱、其他工具的密码存储方案.
oftware\_hisler\TotalCommanderoftware\_hisler\WindowsCommanderoftware\AceBIToftware\Adobe\Commonoftware\BPFTPoftware\BPFTP\BulletProofFTP\Mainoftware\BPFTP\BulletProofFTP\Optionsoftware\BulletProofSoftware\BulletProofFTPClient\Mainoftware\BulletProofSoftware\BulletProofFTPClient\Optionsoftware\ChromePlusOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}OFTWARE\Classes\TypeLib\{F9043C88-F6F2-101A-A3C9-08002B2F49FB}\1.
2\0\win32oftware\CoffeeCupSoftwareoftware\CoffeeCupSoftware\Internet\Profilesoftware\Cryer\WebSitePublisheroftware\ExpanDrive\Sessionsoftware\FarManager\Plugins\FTP\Hostsoftware\FarManager\SavedDialogHistory\FTPHostoftware\Far2\Plugins\FTP\Hostsoftware\Far2\SavedDialogHistory\FTPHostoftware\Far\Plugins\FTP\Hostsoftware\Far\SavedDialogHistory\FTPHostoftware\FileZillaoftware\FileZillaClientoftware\FlashFXPoftware\FlashFXP\3oftware\FlashFXP\4oftware\FlashPeak\BlazeFtp\Settingsoftware\FTPExplorer\FTPExplorer\Workspace\MFCToolBar-224oftware\FTPExplorer\Profilesoftware\FTPClient\Sitesoftware\FTPWare\COREFTP\Sitesoftware\GlobalSCAPE\CuteFTP6Home\QCToolbaroftware\GlobalSCAPE\CuteFTP6Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP7Home\QCToolbaroftware\GlobalSCAPE\CuteFTP7Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP8Home\QCToolbaroftware\GlobalSCAPE\CuteFTP8Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP9\QCToolbarOFTWARE\LeapWareoftware\LeechFTPoftware\MartinPrikryloftware\MAS-Soft\FTPInfo\Setupoftware\Microsoft\InternetExplorer\IntelliForms\Storage2oftware\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersoftware\Mozillaoftware\NCHSoftware\ClassicFTP\FTPAccountsOFTWARE\NCHSoftware\Fling\Accountsoftware\NicoMakComputing\WinZip\FTPoftware\NicoMakComputing\WinZip\mru\jobsOFTWARE\Robo-FTP3.
7\FTPServersOFTWARE\Robo-FTP3.
7\Scriptsoftware\SimonTatham\PuTTY\Sessionsoftware\SoftX.
org\FTPClient\Sitesoftware\Sota\FFFTPoftware\Sota\FFFTP\Optionsoftware\SouthRiverTechnologies\WebDrive\Connectionsoftware\TurboFTPoftware\VanDyke\SecureFX上表是Tepfer查询的注册表项,Tepfer使用指定的注册表项或键值、指定的.
ini文件、指定的.
dat文件、指定的目录及文件等方式窃取账号和密码.
下图为使用指定注册表项查询:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第4页图4查询指定注册表项图5获取FTP用户名和密码通过.
ini文件获取用户名密码:图6通过.
ini文件获取用户名密码可以通过以下.
ini获取对应的FTP软件的用户名和密码:wcx_ftp.
inisites.
ini32BitFtp.
iniwiseftpsrvs.
iniwiseftp.
iniprofiles.
iniNDSites.
iniftpsite.
iniproject.
iniAccounts.
ini还可以通过sm.
dat文件获取CuteFTP软件的用户名和密码.
Tepfer内部包含一个加密的密码表,解密算法是异或1,解密后的密码表用于暴力破解系统开机密码.
密码表见附录一.
破解代码如下图所示:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第5页图7使用密码表暴力破解系统开机密码Tepfer还可以通过浏览器窃取用户已保存的网站登陆账号和密码,以Chrome浏览器举例,Chrome将用户保存的网站密码存储在本机目录中:%ApplicationData%\Google\Chrome\UserData\Default\LoginData该文件是SQLite数据库文件,并使用系统账户密码进行了加密.
Tepfer通过暴力破解系统开机密码,可以间接解密用户使用Chrome浏览器保存在本机中的网站登陆账号和密码.
其他软件的账号和密码这里不进行具体的介绍.
Tepfer将收集到的信息保存到SQLite数据库中,并使用RC4算法加密,发送至远程服务器:http://obiheros.
com/prod/panel/gate.
php疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第6页图8信息回传图9回传的加密信息4Tepfer窃取的密码类型据统计,Tepfer家族可以盗取60多种FTP客户端所保存的密码信息,种类见下图:32bitFTPCyberduckFreshFTPFTPShellsherrodFTP3D-FTPDeluxeFTPFrigate3FTPGoFTPSitemapperAceFTPDirectFTPFTPCommanderLeachFTPSmartFTPALFTPEasyFTPFTPControlLeapFTPStaff-FTPBitKinexExpanDriveFTPExplorerLinasFTPTurboFTPBlazeFTPFastTrackFTPFTPNowMyFTPUltraFTP疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第7页BulletProofFTPFFFTPFTPSurferNetDriveWebDriveClassicFTPFileZillaFTPVoyagerNovaFTPWinFTPCoffeeCupFTPFireFTPFTPGetterXftpWinSCPCoreFTPFlashFTPFTPInfoRobo-FTPWiseFTPCuteFTPFreeFTPFTPRushSecureFXWS_FTPOdinSecureFTPExpertTepfer尝试窃取邮件客户端敏感信息:Becky!
IncredMailOutlookPocomailTheBat!
ThunderbirdWindowsLiveMailWindowsMailTepfer尝试窃取浏览器敏感信息:ChromePlusMozillaComodoDragonChromiumSRWareIronK-MeleonFireFoxSeaMonkeyInternetExplorerYandexInternetCoolNovoOpreaRockMeltGooleChromeFastStoreBrowserTepfer对文件进行暴力搜索,收集31种类型的比特币:AnoncoinDigitalcoinI0coinMegacoinPrimecoinBBQcoinFastcoinInfinitecoinMincoinQuarkcoinBitcoinFeathercoinIxcoinNamecoinTagcoinBytecoinFlorincoinJunkcoinNovaCoinTerracoinCraftcoinFreicoinLitecoinPhoenixcoinWorldcoinDevcoinGoldCoinLuckycoinPPCoinYacoinZetacoinTepfer尝试窃取其他工具的敏感信息:AdobeCommonSiteServersCoffeeCupVissualCentificateNETFileFlingBromium(YandexChrome)DirectoryOpusDreamweaverPuttyFlockTotalCommanderSiteDesignerNexusFileRDPWinZipWebSitePublisherFARManagerNichromeEpic5总结安天CERT研究人员发现,Tepfer家族至今活跃范围仍然很广泛,且Tepfer家族的信息接收服务器数量在近期仍在增长.
Tepfer家族的作者对FTP的兴趣极大,制作了相当繁杂的账号及密码的窃取方法,疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第8页想必一定花费了作者不少的时间和精力.
Tepfer的自我更新能力不强,因其作者更注重代码的质量和细节.
Tepfer家族的作者在全球范围内收集密码信息,以备它用.
安天CERT提醒广大用户,及时修改FTP软件的默认密码保存位置,不要使用简单的开机密码.
附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn

木木云35元/月,美国vps服务器优惠,1核1G/500M带宽/1T硬盘/4T流量

木木云怎么样?木木云品牌成立于18年,此为贵州木木云科技有限公司旗下新运营高端的服务器的平台,目前已上线美国中部大盘鸡,母鸡采用E5-267X系列,硬盘全部组成阵列。目前,木木云美国vps进行了优惠促销,1核1G/500M带宽/1T硬盘/4T流量,仅35元/月。点击进入:木木云官方网站地址木木云优惠码:提供了一个您专用的优惠码: yuntue目前我们有如下产品套餐:DV型 1H 1G 500M带宽...

月费$389,RackNerd美国大硬盘独立服务器

这次RackNerd商家提供的美国大硬盘独立服务器,数据中心位于洛杉矶multacom,可选Windows、Linux镜像系统,默认内存是64GB,也可升级至128GB内存,而且硬盘采用的是256G SSD系统盘+10个16TSAS数据盘,端口提供的是1Gbps带宽,每月提供200TB,且包含5个IPv4,如果有需要更多IP,也可以升级增加。CPU核心内存硬盘流量带宽价格选择2XE5-2640V2...

亚洲云-浙江高防BGP.提供自助防火墙高防各种offer高防BGP!

 亚洲云Asiayun怎么样?亚洲云Asiayun好不好?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括B...

cuteftp为你推荐
支持ipadprohibited禁止(过去式)英语怎么说?新iphone也将禁售iPhone8plus在2020年还会有货吗sns网站有哪些最近两年哪些SNS网站比较火瑞东集团中粮集团主要生产什么的?是国企么网站制作套餐制作一个公司网站究竟需要多少费用呢??申请400电话申请400电话需要哪些流程?办理哪些证明?团购程序有什么好用的社区团购小程序?discuz论坛discuz论坛怎么做谷歌新漏洞安卓上黑客给你发一个MP4代码短信手机就会被控制的那个漏洞现在谷歌有出第二段补丁吗?
免费网站域名注册 阿里云邮箱登陆首页 edis godaddy域名优惠码 鲜果阅读 好看的桌面背景大图 万网优惠券 云图标 福建天翼加速 免空 新家坡 便宜空间 秒杀品 工信部网站备案查询 可外链的相册 winserver2008r2 ping值 卡巴斯基官方下载 文件传输 crontab 更多