检出名

Trojan/Downloader.MPE.Stantinko

别名

文件类型

可执行PE

简介

一种下载器木马。Stantinko会在用户下载所需的软件时,伪装成要下载的软件,诱导用户。Stantinko在刚开始安装时,先会向用户友好声明安装时会附带很多安装软件,以分散用户的注意力,同时在后台隐蔽地安装Stantinko的服务。Stantinko还在Chrome网上应用店中发布两个用于广告注入的浏览器扩展程序。该木马组件会嵌入一个加载器,使得它们可以直接在内存中执行由C＆C服务器发送的任何Windows可执行文件。此功能可以被用作灵活的插件系统,允许操作员在受感染的系统上执行任何操作。Stantinko背后的运营商控制着巨大的僵尸网络,它们主要通过对攻击的用户执行广告注入和诱导用户点击欺诈网页来获利。后来,Stantinko安装的恶意Windows服务可以使攻击者在受感染的设备上执行任何操作。比如,攻击者可以利用它来发送一个功能齐全的后门,一个在Google上进行大规模搜索的病毒,以及一个在Joomla和WordPress管理员面板上执行暴力攻击的工具,以试图找到更多的潜在受害者进行攻击。Stantinko的开发者对其中的大量代码进行了加密防止被安全人员检测到。

主要影响

数据窃取

系统操控

流氓推广

降低用户体验

文件目录行为

1)该木马主要包含两个组件:一个加载器和一个加密组件。恶意代码会隐蔽地驻留在磁盘或Windows注册表中的加密组件中,而且该代码会由正常的可执行文件进行加载和解码,解码会在每次感染后进行。一些组件使用bot标识符,其他组件使用其受害PC的硬盘驱动器的卷序列号。此外,Stantinko具有强大的互补保护机制。成功攻击后,受害者的设备会安装两个恶意的Windows服务,这些服务在系统启动时启动。每个服务都有能力重新安装另一个,以防其中一个从系统中删除。因此,要成功卸载此威胁,必须同时删除这两个服务。否则,C＆C服务器可以发送尚未检测到或已包含新配置的已删除服务的新版本。

2)该木马可能会创建以下文件:

%System%\KBDMAI.dll

注册表行为

1)创建以下服务:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\KBDMAI

“Description”=“Virtual keyboard 32-bit service”

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\KBDMAI\Parameters

“ServiceDll”=%Systemroot%\System32\KBDMAI.dll”

“info”=<可变字符串>

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\KBDMAI\Parameters\System

“pr”=“pr”

“p3”=“p3”

网络行为

1)Stantinko安装了两个浏览器扩展,即The Safe Surfing 和Teddy Protection,它们会注入广告或重定向用户。这样广告客户就要为Stantinko的运营商提供的流量付费。用户在Stantinko弹出的广告后,会直接被重定向到广告主的官网。

2)Stantinko的运营商也试图欺骗Joomla和WordPress网站的管理帐户,通过尝试成千上万个不同的凭据来猜测密码,一旦账户被破解,这些帐户可以在地下黑市进行销售。然后,可以用它们来重定向网站访问者,在其他地方利用套件或托管恶意内容。

3)实施社交网络欺诈:

Stantinko运营商开发了一个可以与Facebook交互的插件,除了常规的功能以外,它还能够创建帐户。通过出售这些虚假账户的信息来赚取利润。

4)该木马收集正在运行的进程列表并将收集到的信息发送到远程服务器。

5)从远程计算机或Internet下载并运行文件

6)将自身更新到较新的版本