“小龍女”網銀被盜案關鍵惡意程式變形捲土重來

wyzsk發表於2020-08-19

原文網址 : https://zhuanlan.kanxue.com/article-12567.htm

作者： 360安全衛士 · 2016/03/29 18:20

Author: kangxiaopao

0x00 背景

TeanViewer是全球知名的合法遠端控制，一般用於線上遠端協助。它的一個定製版服務，已經不是第一次成為其他遠控的幫兇了。在2014年的時候因為“小龍女”李若彤經紀人被騙100萬轟動一時，現在又重新回到大眾的視線。這次TeamViewer不再單單只是TeamViewer了，它變了。這次TeamViewer還攜帶著灰鴿子

0x01 變種前

變種前，不法分子主要透過廣泛收集受害者資訊，然後有針對性的進行欺騙。這樣下來的每一單金額都相當的大。我們來看看他的主要手法，不法分子冒充警察告知使用者的正涉及某項洗錢活動，把涉及金額說的相當的大，你不相信？不法分子非常貼心的為你準備了專門的熱線以及網站供你查詢。當你撥打不法分子為你提供的電話號碼的時候，其實與你通話的就是那些對你錢包意圖不軌的人。(為啥要打他給提供的電話號碼呢╮(╯▽╰)╭)。它讓你登入某個有關部門的網站去檢視你自己的資訊，一看資訊什麼的全對，哎喲媽呀，真的是自己啊。然後就掉進了圈套。開始對不法分子放鬆警惕，開始信任，並且乖乖的聽話。然後我們的TeamViewer就上場了，一個定製版的TeamViewer就出現在了使用者面前，你看它長的像下面這個樣子。標題有沒有很屌？圖示有沒有很嚇人？

定製版的把使用者名稱和密碼都寫死了的，只要你點選連結，你就自動上線了。然後在你輸入你的銀行卡相關資訊後，你的錢錢就沒了，沒了，沒了。是真的沒了，找不回來了的那種。下面就是作案手法

0x02 變種後

變種後的可變態了，不再是需要經過很久資訊收集的物件了，而是把範圍擴大了。雖然用的還是TeamViewer，可是它已不是當初的那個他了。它在原來的基礎上升級了一下，在虛偽面紗背後，它還能釋放出一個灰鴿子。變種前我們可以說，那都是針對有錢人的，我們看看就好，現在已經擴散開了，這就提醒了廣大使用者，不要輕信陌生人的電話，不要輕易點選不該點選的程式。下面我們就來探究一下新變種到底是個什麼東西，從而採取預防措施。

0x03 樣本分析

樣本執行流程

樣本行為分析

這個是母體程式，母體雖然也叫China.exe,但是他不具備TeamViewer的數字簽名。它是一個惡意的程式

主體程式釋放出兩個程式，其中一個是合法的遠控程式China(TeamViwer)，會連線到遠端客服端，能對使用者電腦進行遠端控制。

看看看，這個China.exe是有簽名的，這個才是正常的TeamViewer。

另外一個遠控就是我們前面看到的svchost，這個遠控是在背地裡執行著的，所以這就降低了不法分子盜取使用者資金的難度，以及使受害者範圍更加的廣。讓我們看看他都在背後做了些什麼詭異的操作。先判斷在system32下是否能夠找到自己的替身，沒找到的話就將自己複製過去並替自己的替身將屬性設定為系統檔案。

然後透過呼叫GetVersion函式來判斷程式當前執行的環境是什麼系統，根據判斷結果選擇是否對程式的許可權進行提升。為了不讓作業系統彈框框╮(╯▽╰)╭

提升程式執行許可權的地方。是不是很眼熟，大部分木馬病毒程式中差不多都會看到這個程式碼。o(╯□╰)o

p10

程式透過寫入一個服務，從而讓背後的遠控長期駐紮在使用者的系統中，而且在呼叫CreatService的時候，為引數StartType指定的SERVICE_AUTO_START。該遠控就會在系統啟動的時候，隨著服務控制管理器的啟動而自動啟動

p11

執行自己的替身的同時還會釋放出一個bat檔案，來替自己處理後事。消屍滅跡。

#!bash
:Repeat
del "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe"
 If Exist "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe" Goto Repeat
 del %0

新啟動的替身會開啟iexplore，並將自身注入到了iexplore程式中，讓iexplore做在自己的傀儡。

p12