|
Dyreza,其目的是窃取银行账号和比特币。整个流程首先是通过Upatre进行Dyreza的下载,据研究,目前提供Dyreza下载的服务器均为路由器(大部分为AirOS和MicroTik)。而攻击者利用入侵的路由器,存在多种加密的资源包,而受到感染的机器,会通过Upatre下载路由器中存放的加密恶意代码程序,然后在用户系统中进行解密后得到Dyreza木马。
我们要对其进行分析的意义在于,恶意程序Dyreza家族目前存在有许多的变种,但是他们的主要行为轨迹还是存在共性的。我们通过分析其特性及共性,能更好地进行防御。
0×00 样本分析
-----
样本:ff3d706015b7b142ee0a8f0ad7ea2911
Dyreza 的可执行文件,一个僵尸网络的客户端,负责执行主要的恶意操作。
-----
样本:
5a0e393031eb2accc914c1c832993d0b | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
