在本文中，专家们会分析一种非常特殊的Neutrino变异体，一种可以从POS机终端收集信用卡信息的变体。

卡巴斯基实验室其检测为Trojan-Banker.Win32.NeutrinoPOS

描述文件的MD5：0CF70BCCFFD1D2B2C9D000DE496D34A1

攻击前的准备阶段

该变体在开始之前会经过一段长时间的“睡眠”隐蔽状态，因为这样能绕过许多安全产品的沙箱检测。为了确定延迟时间，该变体会使用伪随机数生成器（pseudorandom number generator）。

C＆C通信

在这个阶段，该变体会从其后台中提取了C＆C地址列表。该列表是Base64编码，解码后，该变体会尝试使用以下算法找到一个工作的C＆C：

1.将POST请求发送到服务器，通过其base64字符串“enter”（ZW50ZXI =）中的自身编码。所有编码的字符串都包含前缀“_wv =”

2.工作服务器响应404页面，其中包含最后编码字符串c3VjY2Vzcw ==（success）。在“成功”的情况下，rTojan会将已使用的服务器的地址标记为正常工作状态。

你还应该注意到，在每个POST请求的标题中都有“auth”字段，对于NeutrinoPOS的每个样本，它们保持不变。

恢复C＆C服务器检查的代码

存储在注册表处的C＆C地址HKCR  Sofrware  alFSVWJB与NeutrinoPOS样本使用的其他变量和数据相同。变体名称与这里描述的不同，但是在两个样本完全比较之后，专家可以判定两个样品都是对Neutrino的修改。

C＆C命令

以上描述的变体功能如下：

1.下载并启动文件；
2. 屏幕截图；
3.按名称搜索运行过程；
4.变更寄存器下分支的指令;
5.在感染的主机上按名称搜索文件，并将其发送到C＆C;
6.代理

服务器以简单的方式发送命令，如“PROXY”，“screenshot”等，以base64编码。经过分析，在当前版本的Neutrino中，没有DDoS攻击的功能。

命令控制和计算的补充

几个命令的例子（在上面的截图上用红色标记）：

Rolxor（“PROXY”）= 0xA53EC5C
Rolxor（“screenshot”）= 0xD9FA0E3

NeutrinoPOS命令处理程序

窃取信用卡

窃取信用卡信息的算法在木马中实现很简单，具体描述如下：

1.木马开始使用当前运行的进程，使用CreateToolhelp32Snapshot  Process32FirstW  Process32NextW。

2.使用OpenProcess  VirtualQuery  ReadProcessMemory，该木马获取有关进程的内存页面的信息。

3.木马扫描内存页面的字符串“Track1”，它标记磁卡的第一个磁道的字段。所有描述的领域一个接一个：

3.1 “0”到“9”范围内的符号序列，长度等于15,16或19.使用Luhn算法进行序列检查。

3.2 在下一个和前一个字段中检查分离符号'^'的存在。

3.3 提取持卡人名称，最大长度，基于ISO / IEC 7813，等于26符号：

3.3 休息数据（Rest data）（CVC32，有效期，CVV）作为整个代码块被提取，并检查长度和内容：

4.收集的数据发送到具有标记“Track1”的服务器。

5.这时，木马就开始提取带有标记“Track2”的下一个字段：

5.1首先，它提取PAN与前一个阶段相同的检查。

5.2 作为使用“'”或“D”的分离符号

5.3 Track2不包含持卡人名称，因为休息数据作为整个代码块被提取

6.收集的数据发送到服务器，标有“Track2”

对POS机终端的感染统计

最大的感染区域是俄罗斯和哈萨克斯坦，其中受感染的电脑中近10％属于小企业客户。

总结

从描述的Neutrino的变异版本可以看出，尽管Neutrino属于一个已经古老的恶意软件家族，但它仍然以非典型功能或应用的形式出现在黑客的手中。例如，我们可以看到它使用了与 Mirai技术分叉(fork)相同的技术。

一般来说，所有具有良好架构和各种功能的恶意软件源代码一旦被公布，就将引起恶意软件开发者的极大兴趣和关注，他们将尝试将其用于几乎所有可能的非法获利方式。我们可以假设，现在可能已经有人利用Neutrino来进行加密货币的挖掘，只是我们还尚未发现具体案例而已。

MD5

CECBED938B10A6EEEA21EAF390C149C1

66DFBA01AE6E3AFE914F649E908E9457

4DB70AE71452647E87380786E065F31E

9D70C5CDEDA945CE0F21E76363FE13C5

B682DA77708EE148B914AAEC6F5868E1

5AA0ADBD3D2B98700B51FAFA6DBB43FD

A03BA88F5D70092BE64C8787E7BC47DE

D18ACF99F965D6955E2236645B32C491

3B6211E898B753805581BB41FB483C48

7D28D392BED02F17094929F8EE84234A

C2814C3A0ACB1D87321F9ECFCC54E18C

74404316D9BAB5FF2D3E87CA97DB5F0C

7C6FF28E0C882286FBBC40F27B6AD248

729C89CB125DF6B13FA2666296D11B5A

855D3324F26BE1E3E3F791C29FB06085

2344098C7FA4F859BE1426CE2AD7AE8E

C330C636DE75832B4EC78068BCF0B126

CCBDB9F4561F9565F049E43BEF3E422F

53C557A8BAC43F47F0DEE30FFFE88673

C&C

hxxp://pranavida.cl/director/tasks.php

hxxps://5.101.4.41/panel/tasks.php

hxxps://5.101.4.41/updatepanel/tasks.php

hxxp://jkentnew.5gbfree.com/p/tasks.php

hxxp://124.217.247.72/tasks.php

hxxp://combee84.com/js/css/tasks.php

hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php

hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php

hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php

hxxp://ns1.posnxqmp.ru/PANEL/tasks.php

hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php