木马溯源
木马使用易语言编写,原理也并不复杂,技术方面没有太多值得细讲的地方。我们关心的是这种盗钱木马出自谁手?又经谁手进入网络?依赖360威胁情报中心的数据,追查其幕后黑手却也并不是什么难事,接着往下看。
样本中的配置文件来自于http://463038264.lofter.com网站,网页上出现了两个可疑的号码,463038264和2953766158,确认两个号码是QQ号。
在QQ签名信息是“1元1000钻石充值地址:http://dwz.cn/34thJj (下载前关闭杀毒),活动仅限于4月9号晚12点,明天恢复正常价格!”,访问http://dwz.cn/34thJj,得到一批同源样本:
通过特征从360样本库中找到一些同源样本,发现木马作者有好多种骗钱的程序,整理后如图:
通过对同源样本的挖掘和网上某社工库的查询,发现该团伙如下:牧马人A和开发人员B。
还没有评论,快来抢沙发!