我的位置 首页  >  新闻动态  >  国内新闻

PBot——进击的广告软件

来源:科技成果转化中心时间:2018-06-29
      

PBot又称PythonBot,是一种基于python开发的恶意广告软件,最早是以MinerBlocker的伪装形式出现的,PBot最初是通过执行MITBman-in-the-browser)攻击并将各种脚本注入合法网站。近期该广告软件开始在受害者计算机上安装并运行隐藏的挖矿程序,这也是目前很多PUP软件值得警惕的一个发展趋势。


该作者使用PBot的两个版本,最初都是通过注入DLL到浏览器进行感染计算机。第一个版本通过注入JS脚本以在网页上显示广告。第二个版本在受害者的浏览器中安装恶意广告软件扩展。仅在去年4月份,PBot试图安装超过5万个用户系统,并且在接下来的几个月中不断增加,据卡巴斯基分析,PBot的目标主要在俄罗斯,乌克兰和哈萨克斯坦。



PBot通常通过合作伙伴网站进行传播,其网页通过脚本的方式,将用户重定向到赞助商链接。也就是说,一旦用户访问合作伙伴网站,其点击页面中的任何位置时都将弹出新窗口的页面,如果打开中间链接,就将重定向用户下载PBot下载页面,并执行任务下载HTA文件,下载PBot恶意广告软件。其传播链如下图所示:



PBot由几个按顺序执行的Python脚本组成。在最新版本的程序中,他们使用Pyminifier进行混淆。在新版本的PBot中,模块将按照以下方案执行:



  1. 源文件* .hta将可执行文件(它是PBotNSIS安装程序)下载到%AppData%。

  2. 安装程序将带有Python 3解释器,Python脚本和浏览器扩展的文件夹放入%AppData%中。

  3. 使用子进程库,ml.py脚本将两个任务添加到Windows任务计划程序。第一个任务是在用户登录系统时执行ml.py,而第二个则在5:00每天运行app.py。另外,winreg库用于将app.py脚本写入自动加载。

  4. launchall.py脚本运行app.py,它处理PBot脚本的更新和新浏览器扩展的下载。

  5. 接下来,launchall.py检查以下进程是否处于活动状态:browser.exe、chrome.exe、opera.exe。如果找到进程,则启动DLL生成脚本brplugin.py。将生成的DLL注入启动的浏览器并安装广告扩展。


MalwareBenchmark提醒大家注意,挖矿有风险,下载需谨慎!

       (科技成果转化中心供稿)