1、暗渡陳倉：披著圖片外衣的特洛伊木馬InfoStealer是一種木馬，功能為收集受害計算機系統(tǒng)用戶的敏感信息，并將其轉發(fā)到一個預定的位置，而搜集的信息包含財務信息，登錄憑據(jù)，密碼或者都有，這些信息可能被出售在黑市上。AVAST將其命名為MSIL:AgentAKP。AD：InfoStealer是一種木馬，功能為收集受害計算機系統(tǒng)用戶的敏感信息，并將其轉發(fā)到一個預定的位置，而搜集的信息包含財務信息，登錄憑據(jù)，密碼或者都有，這些信息可能被出售在

2、黑市上。AVAST將其命名為MSIL:AgentAKP。下面，我們就來看看一個通過exploitkit(全自動攻擊工具)部署在受害者電腦上的惡意.文件。用反編譯器打開該文件后，發(fā)現(xiàn)資源中只包含如下干擾圖片：以位圖方式打開圖片，一個像素一個像素的處理。對于每個像素，它并不是非黑即白(ARGB不等于000000000)3種顏色提取并保存在一個列表中，一個值接著一個值，一列接著一列。當我們提取出整張列表后，得到如下的結果。注意MZ標識，正是可

3、執(zhí)行文件的開頭：很明顯，我們正在對付一個obfuscat(混淆器)，它從位圖中轉換數(shù)據(jù)，構造可執(zhí)行文件。單單的查看這個位圖文件，并不能立即意識到它還存儲著可執(zhí)行文件。對照BITMAPINFOHEADER和它的bitHeight項，我們可以看到它的值是0X134。根據(jù)文檔，如果biHeight是正值，相應的位圖就是自底而上的DIB(與設備無關的位圖)，它的起始點在較低的靠左的位置。下圖展示了這個可執(zhí)行文件的前9個字符是如何隱藏在位圖中的。

4、一個像素包含3個字符，隨后的下一列是下一組3字符(自底高山美人茶而上)。我們發(fā)現(xiàn)紅色標識的字符正是可執(zhí)行文件的MZ特征：4D5A90000300000004。仔細觀察PayloadPayload從位圖中被提取出來，原始文件有兩個位圖，其中一個解析后是用.寫的加載器，裝載進內存并執(zhí)行第二個二進制文件。第一個二進制文件通過修改zone.identifier來修改數(shù)據(jù)流。硬盤上的任何文件都或有無被賦予了:zo瑪瑙ne:identifier的數(shù)

5、據(jù)流，它包含了這個原始文件的zone信息。如果文件來自Inter，它的zone值是3如果來自本地，zone值就是0。這里的惡意文件試圖將zone值設為2，表明是URLZONE_TRUSTED。%sFTPCommer%sFTPCommerDeluxeFtplist.txt它同樣可以修改注冊表項：注冊表項[HKEY_LOCAL_MACHINESoftwareJavaSoftJavaPluginversionUseJava2IExpler]的

6、種類是REG_DWD，設置成0的意思就是禁用JAVA設置成1的意思就是啟用JAVA。注冊表項[HKEY_CURRENT_USERSoftwareAdobeAcrobatReaderversionPrivilegedbProtectedMode]的種類是REG_DWD，設置成0就是禁用設置成1就是啟用。(木馬)作者力求保留將來再次感染該系統(tǒng)的可能。一旦用戶再次登錄exploitkit，感染將再次發(fā)生。InfoStealer同時也向作者報告

7、被入侵電腦上安裝的一些軟件，通過判斷是否存在如下的文件、目錄或者注冊表鍵值：SoftwareValveSteamjagexcacheSOFTWAREBlizzardEntertainment.minecraftLeagueofLegendsSoftwareSkype例如，jagexcache的出現(xiàn)表明在線游戲RuneScape.minecraft表明Minecraft注冊表鍵值SOFTWAREBlizzardEntertainment或

8、者SoftwareValveSteam告訴我們或許機器上安裝著這來自這些游戲廠商的游戲。Leagueoflegends和SoftwareSkype這些字符不言自明。InfoStealer禁用了一些系統(tǒng)服務。Wuauserv就是WindowsUpdateservicewscsvc就是SecurityCenter，mpssvc就是WindowsFirewall，BITS是BackgroundIntelligentTransferServic

9、e。它也擁有洪水攻擊目標服務器的能力。當我們試圖搜尋上面提及的命令時，我們發(fā)現(xiàn)了一個地下論壇，如下描述：通過向[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]下添加AudioDriver32值，就能達到永遠存在的效果，即使機器重啟。InfoStealer木馬通過展示如下的錯誤信息提示窗的聰明方式來迷惑用戶，使其可以提升權限運行。無論點Restefiles還是Restefilescheckdi