近期 360 安全衛(wèi)士攔截到帶木馬的荒野求生輔助通過論壇、QQ、YY 大量傳播。木馬運(yùn)行后，黑客可以遠(yuǎn)程控制用戶電腦，進(jìn)行任意操作，并將中招電腦作為傀儡機(jī)，進(jìn)行 DDOS 攻擊，嚴(yán)重危害個人信息安全和網(wǎng)絡(luò)秩序。

一、主要流程

帶木馬的荒野求生輔助以免費(fèi)形式發(fā)布在布衣論壇中

圖 1

帶木馬的荒野求生輔助運(yùn)行后界面如下

圖 2

該荒野求生輔助被用戶下載運(yùn)行后會釋放運(yùn)行兩個木馬文件：" 過 CRC 檢測 .exe" 和 " 防封插件 .exe"。其中 " 防封插件 .exe"，是一個遠(yuǎn)控木馬，可以竊取用戶電腦中的信息，下載執(zhí)行任意文件。另外一個 " 過 CRC 檢測 .exe"，是一個 DDOS 木馬，根據(jù)黑客指令進(jìn)行定向攻擊。

圖 3

二、防封插件 .exe

防封插件 .exe 是一個加密木馬的載體，該文件運(yùn)行時會解密出具有遠(yuǎn)控功能的 dll 文件，并在內(nèi)存中加載執(zhí)行。

1. 解密 dll 木馬

木馬作者加密木馬程序后，把加密數(shù)據(jù)作為全局變量存儲在防封插件 .exe 程序的全局?jǐn)?shù)據(jù)區(qū)。

圖 4

解密木馬的功能位于防封插件 .exe 程序的異常處理里。由程序主動拋出整型異常，進(jìn)入相應(yīng)的異常處理函數(shù)，解出木馬。

圖 5

解密后的木馬是一個 dll 文件。

圖 6

2. 內(nèi)存加載 dll 木馬

防封插件 .exe 通過 PELoader 的方法，在內(nèi)存中映射解密后的 dll 文件，并調(diào)用 Dllmain 執(zhí)行。

圖 7

然后計(jì)算導(dǎo)出函數(shù) ForShare82 的位置，調(diào)用導(dǎo)出函數(shù)。至此，木馬本體已經(jīng)完整加載到內(nèi)存并運(yùn)行。

圖 8

3.Dll 木馬功能

Dll 木馬具有遠(yuǎn)控功能，控制服務(wù)器地址：27.126.188.68，端口：522。該程序包含鍵盤記錄、下發(fā)文件、注冊表控制、服務(wù)控制等功能。

圖 9

鍵盤記錄功能：判斷鍵盤輸入的內(nèi)容，然后格式化鍵盤信息，過濾特殊按鍵（SHITF、CTRL 等），最后重組成完整的輸入信息，寫入文件。

圖 10

截屏功能：獲取分辨率信息，然后進(jìn)行截屏操作。

圖 11

其他控制功能：

圖 12

三、過 CRC 檢測 .exe

過 CRC 檢測 .exe 程序根據(jù)注冊表項(xiàng) SYSTEMCurrentControlSetServices.Net CLR 是否存在，判斷程序是否第一次運(yùn)行，首次運(yùn)行會執(zhí)行不同流程。

圖 13

1. 首次運(yùn)行的執(zhí)行流程

將自身以隨機(jī)文件名拷貝到 windows 目錄下

圖 14

將拷貝后的文件注冊為自動啟動的服務(wù)，服務(wù)名 .Net CLR。

圖 15

修改服務(wù)描述信息為：Microsoft .NET COM+ Integration with SOAP 以進(jìn)一步迷惑用戶。

圖 16

寫注冊表項(xiàng) SYSTEMCurrentControlSetServices.Net CLR。

圖 17

刪除原始木馬文件。

圖 18

2. .Net CLR 服務(wù)程序執(zhí)行流程

由于首次運(yùn)行時注冊了服務(wù)，所以樣本作為服務(wù)二次啟動的時候就會進(jìn)入另一個流程。

1 ) 創(chuàng)建互斥體 ".Net CLR"

圖 19

2 ) 釋放 hra33.dll（這是一個 lpk 劫持 dll），緊接著便更新 dll 的資源，然后加載 dll。

圖 20

hra33.dll 被加載之后，DllMain 中立即運(yùn)行惡意行為，遍歷用戶磁盤文件，每當(dāng)發(fā)現(xiàn)一個 exe 文件時，便將自身拷貝到 exe 文件目錄下，并將自身重命名為 lpk.dll。

圖 21

3 ) 創(chuàng)建局域網(wǎng)傳播線程，嘗試弱口令連接局域網(wǎng)內(nèi)的用戶，將自身拷貝到本地磁盤和局域網(wǎng)共享目錄的 C、D、E、F 盤下并重命名為 g1fd.exe，其中成功拷貝至 C、D、E 盤時，會以計(jì)劃任務(wù)的方式直接啟動。

圖 22

局域網(wǎng)傳播中用到的部分用戶名和弱口令

圖 23

4 ) 創(chuàng)建三個遠(yuǎn)控線程。三個線程的控制功能是一致的，但連接的服務(wù)器不同，此外前 2 個線程會驗(yàn)證系統(tǒng)時間，當(dāng)時間大于 2013/2/21 才會創(chuàng)建控制線程。

圖 24

遠(yuǎn)控線程 1 的連接，實(shí)測是無效連接。

圖 25

遠(yuǎn)控線程 2 的遠(yuǎn)程連接 c&c 地址（z*******g.bid）端口是 20199

圖 26

遠(yuǎn)控線程 3 的連接，服務(wù)器地址是加密的，解密后是 27.126.188.68:520

圖 27

5 ) 遠(yuǎn)控線程的主要功能

下載執(zhí)行任意文件

圖 28

DDOS 攻擊

圖 29

使用遠(yuǎn)程命令行參數(shù)啟動 IE

圖 30

更新木馬文件

圖 31

卸載自身

圖 32

四、溯源

通過對惡意樣本的分析，找到了域名 z*******g.bid，通過域名反查定位到域名相關(guān)的注冊郵箱和聯(lián)系電話。

圖 33

通過郵箱和手機(jī)定位到相關(guān)信息如下

圖 34

查看原文