近期，360安全大腦監測發現了一個感染規模超過25萬臺電腦的大型殭屍網路——“禍亂”。經過溯源發現，該殭屍網路是由“優兔看圖”，“酷看精選桌布”，“樂魚酷搜”等流氓程式在後臺靜默下發。與其他殭屍網路類似，“禍亂”殭屍網路的所有者可以通過雲端下發不同的病毒模組到受害者的機器執行。

值得注意的是，這場“禍亂”的始作俑者，是一個不折不扣的“財迷”，因為“禍亂”殭屍網路搭載的是“流量暗刷”和“挖礦”這兩類極具斂財能力的病毒模組，通過一頭牛扒兩層皮的手段，誓要榨乾受害電腦的所有價值。不過，廣大使用者可以長舒一口氣的是，目前360安全衛士已實現了對此類木馬的強力查殺。

美國斷網事件驚魂未定，殭屍網路夾帶挖礦木馬再次來襲

從此次“禍亂”中可以看出，網路攻擊的現實傷害早已不再是“小打小鬧”，其規模和傷害力度，都足以引起各界的共同關注。早在2016年，美國就曾遭遇過一起超大規模的殭屍網路攻擊，攻擊者接管了超過50萬臺路由器，並發動拒絕服務攻擊，直接打癱了twittr、github、reddit和《紐約時報》等多家美國主流網站，造成了轟動世界的“美國斷網事件”。

更令人不安的是，近年來，殭屍網路在發動攻擊的同時，出現了明顯的“商業化”傾向，並變得愈加行蹤隱蔽。像挖礦木馬、流量暗刷等惡意程式，都藉著殭屍網路的“東風”，順勢潛入了廣大使用者的電腦中“作威作福”，而靜默下發的形式，讓很多不幸中招的電腦，就只能在不知不覺間任人宰割。

深度解析“禍亂”原委，作惡手段一窺到底

通過對“禍亂”的深度分析，我們就能直觀感受到目前新趨勢下的殭屍網路的強大“傷害值”。

下圖是“禍亂”殭屍網路的執行框架：

“禍亂”殭屍網路由“優兔看圖”，“酷看精選桌布”，“樂魚酷搜”等流氓軟體程式傳播，我們以“優兔看圖”為例，分析其感染過程。

使用者在安裝優兔看圖時，安裝程式會在安裝目錄下釋放一個YotuaTask32.dll木馬檔案，並以rundll32.exe呼叫其匯出函式CheckUpDate()，該匯出函式會傳送本地資訊到CC伺服器請求shellcode進行執行，相關程式碼邏輯如下：

檢驗shellcode的校驗和，並解密shellcode進行載入，相關程式碼邏輯如下：

shellcode會註冊不同的病毒服務，執行不同的病毒流程。

• 暗刷
  

srvany.exe是MicrosoftWindows Kits工具集的一個實用小程式，用於將任意可執行檔案註冊為服務，並以SYSTEM許可權進行啟動。“禍亂”殭屍網路利用了這一特性，使得啟動的病毒程式擁有了注入services.exe等系統程式的許可權。

病毒利用srvany.exe註冊病毒服務，服務執行後會修復%windir%目錄下TSSys2pr.dat檔案的DOS可執行檔案標識，將其還原為TSSys2pr.exe並執行。註冊的服務資訊如下：

上述命令列會修復該PE檔案的DOS標識並執行該檔案，該木馬檔案會在系統的temp目錄下釋放twunk_l6.dll並將其注入到系統程式中執行，相關程式碼邏輯如下：

twunk_l6.dll從登錄檔的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSBuild\ToolsVersions\cpuID中讀取加密的配置檔案，根據其中的配置讀取登錄檔中存放的加密後的病毒動態庫，將其解密後進行載入。相關的登錄檔配置及解密後的配置檔案資訊如下：

將登錄檔中讀到的資料經過AES解密後再經過LZMA演算法解壓縮，解壓出tPlat64.dll和CSSLookAid64.dll兩個模組，解壓演算法如下：

CSSLookAid64.dll會修改本地的網路代理，為暗刷程式提供代理伺服器，修改後的相關設定如下：

tPlat64.dll將計算機資訊傳送到CC伺服器，CC伺服器通過傳送的資訊返回配置檔案，解密後如下，其中url欄位對應暗刷流量的主程式，config欄位對應其配置檔案：

將解密後的暗刷主程式注入到傀儡程式中，並通過命名管道將配置檔案傳遞給主程式PC_WEBKIT.exe，程式碼邏輯如下：

PC_WEBKIT.exe會下載並載入其他依賴元件WebKit.dll，JavaScriptCore.dll，ffmpegsumo.dll等，然後建立執行緒開始刷量，並且會將相關的日誌儲存在ck.txt中，下圖是在分析環境中生成的日誌資訊：

• 挖礦

除了流量暗刷之外，“禍亂”殭屍網路還會下發一個攜帶有“武漢市盛洪創意裝飾設計有限公司”有效數字簽名的惡意驅動，經過分析發現該驅動是360於2018年七月份發現的挖礦木馬NewKernelCoreMiner，驅動資訊如下：

該驅動會掛鉤NTFS派遣函式，保護病毒檔案。

禁止以下安全模組載入：

清理老舊版本：

最後註冊程式回撥，往lsass.exe程式中注入Platform.dll開始挖礦，該病毒攜帶多個礦池地址，每次都會隨機選擇挖礦配置，相關程式碼如下：

更多關於NewKernelCoreMiner的技術細節，請參考我們之前的分析報告:NewKernelCoreMiner撐起百萬收入的挖礦木馬(http://www.360.cn/n/10301.html)。

“衛”你安全始終如一，360安全衛士再次強力出擊

“禍亂”殭屍網路利用srvany.exe獲得SYSTEM的執行許可權，病毒在執行過程中的程式鏈全白，多處shellcode的載入採用“加密”+“記憶體載入”的模式，落地的病毒模組也多采用加密儲存，如加密後將shellcode儲存到登錄檔當中，可以繞過很多安全軟體的檢測，行為非常隱蔽。不過中毒的使用者也無須擔心，360安全衛士能強力查殺此類木馬，建議中毒的使用者前往weishi.360.cn，下載360安全衛士進行查殺。