又是一年毕业季,在外漂泊、刚刚毕业踏入职场的毕业生们一定都经历过租房的烦恼。黑中介、乱收费、扣押金、假房源等都是困扰租房者的问题。但现在又新出现的一个招数,且听技术君慢慢道来,看完之后大家可要注意喽。
大学刚毕业的小杨,为节省高昂的房屋租赁中介费,决定己在网上找个人房源。于是她搜遍了赶集、58这类网站,好不容易发现了精装又低价的房子。
并且房主还提供了视频为证,赶紧下载回来,瞅一瞅。可是一看视频后,电脑就不听使唤了,电脑无故弹出各种广告、被强制安装其他软件,账号信息还被盗了。
不经令人感叹,租个房、看个视频居然也会中招,都是套路啊!下面是详细的技术分析。
技术分析
下载的“房子视频”压缩包文件中,有名为“房间内视频”的文件,但如果注意观察文件后缀名,应该发现这不是一个视频文件,而是exe可执行程序。
除了上述之外,还有一类更具欺骗性,利用超长的文件名无法在“名称”栏中显示的问题。故意输入多个标点符号“.”,淹没正常的显示。
将“名称”一栏拉长后,就会发现这同样是一个Exe可执行程序,而不是一个mp4视频文件。
另外,这类“视频文件”通过将自身的图标伪装成视频文件的图标,迷惑用户。
下面来看一下,用户点击了这类文件后,到底发生了什么。首先在%TEMP%临时目录下,释放了irsetup.exe。
而这个irsetup.exe又在C:\Program Files目录下释放2.wmv文件,并调用Windows默认播放器Windows media player,播放该视频,用意迷惑用户。
从下面图片中看到在C:\program Files下确实多了一个视频文件,并且确实播放了一段视频文件。
但除此之外,通过procexp.exe看到irsetup.exe还会在背地里联网下载安装一系列其他软件。
从Wireshark的截图中可以看到下载的其余Exe多达数十个。
这些下载的软件包括但不限于以下几种:2345浏览器爱奇艺百度杀毒百度卫士百度浏览器百度软件管理瑞星安全软件大天使之剑盛世三国此外,还有盗号类的木马。 你会突然发现,电脑变卡了,桌面上多了N个图标,莫名被装上了其他软件。浏览器首页被篡改了,右下角经常会无故弹出小广告,还有账号可能被盗了。。。。
有兴趣的同学,可移步公司的“翠鸟”分析平台查看具体的恶意行为。以一张“翠鸟”分析的动态行为图结束技术分析。
背后“黑产”分析
通过Google搜索关键字发现,该团伙几乎是批量的在赶集,58等中介网站中发布租房信息,以精装、低价为诱饵,吸引用户点击。
而这类信息一般比较吸引眼球,也最容易获得租客、买方的关注,提高点击量。但房屋描述中都已白天工作忙为借口,要求租户先下载看视频。
通过短网址跳转,利用网盘,云盘和控制的网站进行传播。
一旦租客下载了此类视频文件,并点击观看,就有可能中招,导致电脑中毒。 总结一下“租房视频”的运作模式,如下图
- 黑客在中介网站注册大量马甲发帖,以精装、低价转租房子为诱饵,引导租客下载有毒视频。
- 然后将包含恶意软件的“租房视频”上传到网盘、云盘,等待用户下载。
- 租客在中介网站看到此类出租信息,信以为真,从黑客提供的网盘上下载了此类视频。
- 一旦用户运行观看这类“租房视频”则就中招,电脑轻则被安装推广软件,重则账号被盗,信息失窃。
防范措施
用户在中介网站查看租房信息时应谨慎,对于明显低于市场价尤其应该小心。不要轻易下载不明链接的文件,不要随意点击运行“房东”发来的安全性未知的文件,谨防电脑中招。如确实需要打开相关文件,请注意辨别。平时电脑应该安装杀毒软件,及时升级病毒库。
如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669