騰訊安全揪出年度最大病毒團伙，高峰時控制近4000萬臺電腦

一、概述

2018年至今，國內先後有多家安全廠商分別發現幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，這些木馬利用盜版Ghost系統、啟用破解工具、熱門遊戲外掛等渠道傳播，在使用者電腦上安裝Rootkit後門，透過多種流行的黑色產業變現牟利：包括，雲端控制下載更多木馬、強制安裝網際網路軟體、篡改鎖定使用者瀏覽器、刷量、挖礦等等。

自誕生以來，這個超大的病毒團伙和國內眾多防毒廠商鬥智鬥勇，一個團伙在安全軟體聯合打擊下消退，很快就有一個新的團伙取而代之。

騰訊安全御見威脅情報中心透過多個維度分析幽蟲、獨狼、雙槍、紫狐、貪狼等病毒木馬的技術特點、病毒程式碼的同源性分析、C2伺服器註冊、託管等線索綜合分析，最終判斷這5個影響惡劣的病毒團伙背後是由同一個犯罪組織操控。

該病毒團伙在2018年7-8月為活躍高峰，當時被感染的電腦在3000萬-4000萬臺之間。之後，該病毒的傳播有所收斂，在2018年8-11月感染量下降到1000萬-2000萬之間。至今，被該病毒團伙控制的電腦仍在200-300萬臺。

圖 1 傳播趨勢

該病毒團伙的受害者分佈在全國各地，其中廣東、山東、江蘇受害最為嚴重。該病毒團伙受害者地域分佈如下圖所示：

圖 2 地域分佈

騰訊安全專家最終依靠騰訊安圖高階威脅追溯系統，將多個危害嚴重的病毒家族關聯為一個大團夥，讓人們更清晰的感知到網路病毒黑產規模之龐大，體系之成熟。

二、超大病毒團伙的發現

騰訊安全專家透過例行的智慧分析系統查詢發現，雙槍、紫狐、幽蟲和獨狼系列木馬都被聚類到同一個自動家族T-F-8656。

（注：病毒家族智慧分析系統是騰訊安全大資料平臺的子系統，由騰訊安全御見威脅情報中心自主研發，集威脅發現、威脅分析、報告輸出及視覺化展示等能力於一身的高階威脅分析系統。自動家族是透過機器學習演算法聚類得到的可疑木馬家族，無須人工干預，系統可自動將存在關聯關係的病毒家族聚類到一起。）

圖 4 智慧分析系統

利用智慧分析系統從自動家族T-F-8656中篩選出部分關鍵節點，並使用3D模式進行視覺化展示，發現幽蟲、獨狼、雙槍、紫狐以及關聯到的盜號、惡意推裝木馬之間聯絡非常緊密，但又層次分明，這一佈局就像有人專門設計的結構。

圖 5 T-F-8656家族3D視覺化展示

進一步將上圖中涉及到的所有資訊進行分析整理，可以發現，幽蟲和獨狼木馬透過盜版GHOST系統、系統啟用工具、遊戲外掛等多種渠道進行傳播，負責在受害者系統中安裝Rootkit，並將自身進行持久化（透過安裝木馬長時間控制目標系統，業內俗稱“持久化”），然後再透過下載者木馬投遞雙槍、紫狐、盜號木馬等多種惡意程式，同時還在中毒電腦上推廣安裝多個軟體、彈出廣告或刷量。各個木馬家族之間分工明確，環環相扣，組成了一個完整的產業鏈。

圖 6 幽蟲、獨狼、雙槍、紫狐等木馬組成的產業鏈

三、溯源分析

不僅如此，以上這些木馬還有更深入的聯絡，證明這些傳播廣泛的木馬背後實屬一個網路犯罪團伙控制。

1、幽蟲 == 獨狼系列

其他安全廠商披露的幽蟲木馬，實為御見威脅情報中心多次報導的獨狼系列木馬，為保證結果的可靠性，下面我們從不同的維度對此進行交叉驗證。

（1）攻擊手法

在幽蟲和獨狼2的分析報告中都有提到，獨狼2和幽蟲木馬均透過偽裝的系統啟用工具進行傳播，利用到的技術手段和最終的獲利方式都如出一轍，同時受害使用者中招之後，受害主機系統資訊都被上傳至同一C2域名www.tj678.top。

表 1 幽蟲、獨狼2基本資訊對比

（2）驅動程式碼相似同源

獨狼木馬和幽蟲木馬的驅動程式碼相似度極高，如下圖所示

圖 7 獨狼驅動部分程式碼

圖 8 幽蟲驅動部分程式碼

如下圖所示，對比獨狼木馬和幽蟲木馬驅動的關鍵函式程式碼流程圖，發現它們的整體流程基本一致，可以確定它們屬於同一木馬家族。

圖 9 關鍵函式程式碼流程

（3）pdb名稱

透過騰訊安圖高階威脅追溯系統進行查詢，可以看到，幽蟲木馬和獨狼1木馬的pdb名稱完全一致。

圖 10  幽蟲木馬pdb名稱

圖 11 獨狼木馬pdb名稱

（4）樣本簽名

幽蟲木馬和獨狼木馬的部分樣本數字簽名如下表所示，可見它們重複盜用相同的數字簽名。

表 2 幽蟲、獨狼木馬簽名對比

綜上所述，幽蟲木馬和獨狼木馬其實屬於同一個木馬家族，並出自同一作者之手的可能性極大。

2、一根繩子上的螞蚱

前面已經給出了充分的證明表示，幽蟲木馬和獨狼木馬屬於同一個木馬家族，並且出自同一作者之手。那麼雙槍、紫狐、貪狼是否也與該作者存在更深層次的聯絡呢？

為了幫助大家理清思路，首先，整理出各個木馬家族的基本資訊。

表 3 各木馬家族基本資訊

由上表可見，這幾個木馬在傳播渠道、技術手段、惡意行為上相似而又不盡相同，無法簡單地判斷它們是否是同一作者所為。

接著，再挑選各個木馬家族的部分代表性樣本，並提取它們的簽名資訊，如下表所示：

表 4 各木馬家族簽名資訊

幽蟲&獨狼與雙槍木馬使用的大部分簽名是一樣的，貪狼則使用不一樣的簽名資訊。從盜用的簽名上看，幽蟲&獨狼和雙槍木馬存在著很大的貓膩，而貪狼則貌似很“清白“。

友商曾於2018年10月份披露過，透過對比”貪狼“和多個版本的”雙槍“的pdb，可以發現“雙槍“中進行流量劫持的模組”AppManage.dll“與”貪狼“中實現相同功能的模組”AppManage.dll“出自同一木馬作者之手，如下圖所示，它們的pdb名稱極其相似，並且頻繁出現”ppzos“和”ivipm“字眼。

圖12 雙槍、貪狼pdb對比

圖 13 雙槍、貪狼pdb對比

而進一步透過騰訊安圖高階威脅追溯系統進行關聯發現，ppzos.com和ivipm.com的多個子域名均為雙槍的C2，而且都在2018年8月~9月之間解析到了同一個ip地址103.35.72.205。

圖14 雙槍C2

另外，在差不多的時間節點，ppzos.com，ivipm.com等子域名又與貴陽市海雲世紀科技有限公司的多個站點解析到同一個ip地址121.42.43.112。

圖 15 雙槍C2

貴陽市海雲世紀科技有限公司曾透過其公司官網www.qhaiyun.com利用開心輸入法等產品傳播雙槍木馬，而該公司的產品點點輸入法安裝包的pdb名稱與雙槍、貪狼pdb名稱高度相似，工程專案的父目錄都在”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。

圖 16 開心輸入法pdb

表 5雙槍、貪狼、開心輸入法pdb對比

可以更進一步地證明，雙槍和貪狼確實出自同一作者之手，該病毒作者與貴陽市海雲世紀科技有限公司之間的存在相關性。

透過“天眼查”檢索發現該公司目前已被登出。

圖 17 貴陽市海雲世紀科技有限公司註冊資訊

而該公司旗下的多個站點已變成博彩網站，這可能意味著病毒作者在獲得豐厚收益之後，暫時轉行避風，以逃避網安機構的查處。

圖 18 官網變博彩站點

綜上，可以確定幽蟲&獨狼、雙槍、紫狐和貪狼木馬其實出自同一團伙（作者）。為了方便回顧，將該團伙使用的各個木馬家族之間的關係使用韋恩圖整理如下：

圖21

該團伙的產業鏈整理如下圖所示：

圖22

四、解決方案

1. 建議網民使用正規軟體，儘量不要下載執行各類外掛輔助工具，外掛和遊戲輔助工具是病毒木馬、違規軟體傳播的主要渠道之一。

2. 幾乎所有外掛網站都會誘導、欺騙遊戲玩家退出或關閉防毒軟體後再執行外掛。一旦照辦，防毒軟體有很高的機率被隱藏在外掛中的病毒木馬破壞，從而令電腦失去安全防護能力。

3. 啟用工具、Ghost映象歷來都是Rootkit病毒傳播的重要渠道，“獨狼”Rootkit系列病毒具有隱蔽性強，反覆感染，難查殺的特點。建議使用者使用正版作業系統，如果防毒軟體報告發現啟用破解補丁帶毒，建議停止使用。

五、IOCs（注：由於IOC過多，這裡只給出部分未披露的IOC）

紫狐

f.pbipkierrqom.life

m.pbipkierrqom.life

l.pbipkierrqom.life

2.pbipkierrqom.life

6.pbipkierrqom.life

4.pbipkierrqom.life

8.pbipkierrqom.life

h.pbipkierrqom.life

5.pbipkierrqom.life

a.pbipkierrqom.life

9.pbipkierrqom.life

c.pbipkierrqom.life

i.pbipkierrqom.life

k.pbipkierrqom.life

g.pbipkierrqom.life

j.pbipkierrqom.life

e.pbipkierrqom.life

d.pbipkierrqom.life

0.pbipkierrqom.life

arildsdsxqls.info

216.250.99.26

216.250.99.42

雙槍

white.icbc1234.com

white1.icbc1234.com

white2.icbc1234.com

125.7.29.26

幽蟲&獨狼

www.dqzsy.com

123dh.579609.com

www.taolea.top

dl.taolea.top

update.taolea.top

貪狼

e1.nchiu.com

e2.nchiu.com

m1.nchiu.com

m2.nchiu.com

五、參考連結

盜版Ghost系統攜“獨狼”Rootkit來襲，鎖定瀏覽器主頁超20款：https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

Rootkit病毒“獨狼2”假冒啟用工具傳播，鎖定23款瀏覽器主頁：https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow

幽蟲木馬分析

https://www.anquanke.com/post/id/164372#h2-0

酷玩遊戲盒子偽造知名公司數字簽名，傳播Steam盜號木馬：https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

“外掛幽靈”團伙曝光 系雙槍、紫狐兩大病毒家族的幕後推手：https://mp.weixin.qq.com/s/EyzMIjEDO2OJWyaI-3gqOw

“紫狐木馬”暴力來襲：http://www.360.cn/n/10386.html

“雙槍”木馬專攻遊戲外掛玩家，鎖定主頁強推開心輸入法：https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

“雙槍”木馬借“逆戰契約”外掛，轉戰“流量劫持”

http://www.360.cn/n/10439.html

“雙槍”木馬的基礎設施更新及相應傳播方式的分析

https://www.anquanke.com/post/id/168866#h2-12

貪狼Rootkit殭屍家族再度活躍：挖礦+DDOS+劫持+暗刷

https://www.freebuf.com/articles/paper/178927.html

一款惡性Rootkit木馬分析 ——“狼人殺”木馬潛伏數十萬臺電腦

https://slab.qq.com/news/tech/1534.html