近日，亚信安全截获了一款伪装成屏幕保护程序的Agent Tesla间谍木马。该木马通过检测进程名称的方式达到反调试目的，经过解密后采用进程镂空的方式最终执行恶意攻击载荷。其会窃取多个浏览器登录凭证和COOKIE信息，截取屏幕信息，记录键盘按键，最后将收集到的数据通过SMTP发送到黑客的邮箱。亚信安全将其命名为TrojanSpy.MSIL.NEGASTEAL.DYSGVZ。

攻击流程

病毒详细分析

该病毒伪装成屏幕保护程序，诱骗用户点击：

其使用C# 编写，反编译后代码被混淆：

去除混淆后，我们继续进行分析发现，该病毒具有反调试功能，其会检测父进程的名字是否为“dnSpy.exe”：

我们更改了调试器名字后继续进行分析，其看起来像是一款游戏：

但是却在初始化的时候开始执行恶意代码，将资源加载到内存中并执行：

其加载的资源为PE可执行文件：

PE可执行文件运行起来后开始加载主模块图像资源并解码执行：

加载后的程序如图所示：

其采用进程镂空的方式将恶意代码（Byte_1中所存储的）写入到新的子进程中运行：

我们将Byte_1中的数据dump出来继续分析，其Dump出来的是个PE文件：

其窃取如下浏览器所保存的登陆信息：

Opera Browser Yandex Browser Vivaldi Coccoc Coowon Brave Elements Browser 7Star Orbitum Amigo Chromium Torch Browser 360 Browser LieBao Browser Sleipnir 6 Chedot Epic Privacy Citrio Kometa Sputnik CentBrowser Cool Novo Iridium Browser Uran QIP Surf Comodo Dragon

将搜集到的信息通过SMTP发送给黑客：

黑客收信邮箱账号与密码：

其他参数：

Smtp Host Smtp.yandex.com Smtp enable ssl true Smtp port 587

收集浏览器cookie打包后发送到黑客邮箱：

功能如下：

CO 浏览器COOKIE PW 浏览器保存的密码 SC 屏幕截图 KL 键盘记录

黑客邮箱界面：

解决方案

不要点击来源不明的邮件以及附件；

不要点击来源不明的邮件中包含的链接；

请到正规网站下载程序；

采用高强度的密码，避免使用弱口令密码，并定期更换密码；

IOC 文件名称 IMG_9120000151005_GR1342.scr 文件信息 SHA1: 2B9D30611F9C622116CB9553**74FD90043A19F8 编译平台 .Net 亚信安全检测名 TrojanSpy.MSIL.NEGASTEAL.DYSGVZ