"綠色"並不代表安全,一個隱藏在綠色軟體中的木馬分析
0x00 背景
“綠色軟體”通常指的是那些無需安裝即可使用的小軟體,這些小軟體執行後通常可以直接使用,且使用後不會在登錄檔、系統目錄等殘留任何鍵值和檔案,甚至可以直接將其放到隨身碟、光碟等移動介質中,隨時隨地使用。同時由於其免安裝、解壓即可使用,也會給人予安全的感覺,因此深受廣大網友的喜愛。然而這些“綠色軟體”真的都安全嗎?
0x01 木馬簡介
近期騰訊反病毒實驗室捕獲到多個帶有木馬的“綠色軟體”壓縮包,此類綠色軟體通常為小工具類,透過中小下載站傳播,這些標榜“綠色軟體”的壓縮包程式中含有木馬。此外,這些工具還被大量上傳到網盤、論壇、社交群裡,傳播量較大。木馬執行後不僅會篡改多種瀏覽器的主頁,還會下載大量推廣程式、木馬到本地執行,對使用者電腦保安造成嚴重的威脅。
圖1.解壓後的“綠色軟體”目錄
該木馬主要存在於各種“綠色軟體”包中,直接替換原本的主程式,將原本的主程式重新命名為mail.dll,木馬啟動後會查詢同目錄下的mail.dll檔案,並將其執行起來,從而讓使用者完全無法察覺。隨後木馬便會不斷篡改主頁、下載推廣軟體、關閉防火牆、關閉系統聲音、後臺刷流量等。
0x02 木馬詳細分析
該木馬使用VB語言編寫,由於VB語言在編譯程式時是將程式編譯成中間語言,而非二進位制程式碼,因此具有天然的免殺功效,目前VirusTotal上僅有不到三分之一的安全軟體能夠識別該木馬。
透過VB反編譯軟體對該樣本進行反編譯後可以發現,除了主函式外,還有一個窗體中含有多個事件,包括三個計時器事件,以及窗體的載入和解除安裝事件等,此外,透過程式碼結構可發現,該樣本中嵌入了一款名為VB多標籤頁面web瀏覽器的控制元件,該控制元件主要用於訪問指定導航頁面,刷流量。
圖2.反編譯程式碼總體結構圖及與開源的一個vb控制元件對比
木馬執行後在主函式中會先關閉系統自帶的防火牆,隨後立即執行同目錄下的main.dll檔案,經分析該軟體真正的主體檔案。此外,可能是為了逃避分析和特徵查殺,該木馬程式中的所有字串均拆分成小片段後再拼接。
圖3.木馬主函式相關程式碼
main.dll實為軟體主程式,將其副檔名改為exe後,可見其真實圖示,木馬只是以狸貓換太子之術將主程式“掉包”,執行主程式後主程式完成軟體真實功能,木馬則在後臺偷偷執行。
圖4.將main.dll副檔名改為exe後, 可見其真實圖示
在主窗體的載入函式中,木馬初始化部分配置資訊,主要是訪問以下4個URL連結獲取相關配置資訊,以及傳送統計資訊、使用內建web瀏覽器刷流量。
- <www.dongzhiri.com/t/0.asp>(主頁配置)
- <www.dongzhiri.com/t/1.htm>(統計)
- <g.msnunion.com/exi/h.asp>(第三方瀏覽器主頁配置)
- <g.msnunion.com/exi/wj.htm>(跳轉到導航頁http://www8.1616.net/?un7783)刷流量
隨後啟動計時器1和計時器2,由計時器2完成木馬的主要功能
圖5.木馬主窗體的載入函式相關程式碼
計時器1主要實現的功能是:不斷查詢系統的程式列表,以判斷main.dll程式是否存在,如果不存在,說明使用者已經關閉該軟體,此時木馬便呼叫窗體解除安裝函式準備退出程式,以免被發現異常。
圖6.計時器1主要功能函式相關程式碼
計時器2負責完成木馬的主要惡意行為,首先會根據初始化的配置資訊,修改多種瀏覽器的主頁,目前,該木馬配置的主頁為:http://www8.1616.net/?un5794end
圖7.修改ie瀏覽器主頁
圖8.透過修改登錄檔實現主頁修改
圖9.目前該木馬配置的主頁,是一個導航網站
圖10.修改第三方瀏覽器主頁
隨後木馬會下載配置檔案http://www.dongzhiri.com/t/j.txt到本地解密,該配置檔案儲存的主要是要推廣的軟體列表,根據電腦關鍵監測,該配置檔案約1分鐘變動一次,每次推廣的檔案都不一樣。可見該木馬還在持續活躍中。
圖11.下載推廣列表配置檔案
圖12.推廣列表解密函式
圖13.加密的推廣列表,該列表每隔數分鐘變化一次,推廣不同的程式
圖14.下載安裝推廣的軟體
該木馬推廣的程式列表以分鐘級更新,以下是該木馬推廣的部分軟體,可見大部分為遊戲程式,此外還有發現該木馬推廣其它木馬程式。
圖15.木馬推廣的部分軟體列表
0x03 傳播渠道
此木馬透過標榜“綠色軟體”,打包到各種小軟體工具包中,並上傳到大量中小下載站,經不完全統計,目前在網路上的打包有該木馬的“綠色軟體”包總數量在1000個以上,涉及到各種常用小工具。以下為部分被打包了木馬“綠色軟體”列表。
圖16.部分被打包了木馬的“綠色軟體”
圖17.傳播渠道
圖18.傳播渠道
圖19.傳播渠道
0x04 結語
隨著網際網路的普及和發展,網路黑色產業也越來越深入網際網路的每一個角落,曾經乾淨的、安全的、無私共享的網路資源如今已經逐漸絕跡。就像前段時間騰訊反病毒實驗室曝光的附加在ghost映象中的“蘇拉克”木馬一樣,網路上未被黑產染指的空間越來越小。如今網路上的共享免費的資源,已經少有安全的了。
在此管家建議廣大使用者,無論是大軟體還是小工具或者作業系統,儘量從官網下載,或者使用安全軟體的軟體管理進行下載和安裝,儘量不要從無法確定安全性的中小網站下載資源。
相關文章
- 綠色軟體下載
- 多特綠色軟體下載
- 三個滑竿代表紅綠藍,修改view的顏色View
- winscp 綠色版,4步掌握winscp 綠色版軟體的使用教程
- 綠色IT之我見[我寫綠色IT]薦
- 綠色ftp工具,綠色ftp工具下載,使用教程。FTP
- vnc遠端控制軟體綠色,vnc遠端控制軟體綠色版下載,使用者登入使用教程VNC
- 利用ldd打造Linux下的綠色軟體包Linux
- 批次伺服器管理軟體 綠色小巧方便伺服器
- mysql 綠色版 安裝MySql
- 綠色化使用FoxmailAI
- Qt的目錄依賴問題----怎樣生成一個綠色的Qt軟體包QT
- RedHat 9.0 的“綠色”安裝(轉)Redhat
- MySql綠色版安裝配置MySql
- 『軟體推薦』Xshell6.0版本綠色版本
- 中國安卓綠色聯盟釋出章程,安卓綠色應用標準要來了?安卓
- 安卓綠色聯盟安全標準1.0到2.0,讓使用者隱私更安全安卓
- 10項拯救地球的綠色技術
- rx8音訊處理軟體中文綠色安裝版音訊
- Windows 下JDK綠色免安裝WindowsJDK
- MySQL5.7綠色版安裝MySql
- 綠色建築智慧建造山東加快推進建築產業鏈綠色低碳發展產業
- Adobe cs6 全系列軟體綠色破解版-一鍵安裝
- 綠色出行,從智慧公廁開始!
- MySql 5.6.36 64位綠色版安裝MySql
- PL/SQL developer 8.0綠色版downloadSQLDeveloper
- 紅色iPhone 7很稀奇?草木綠願意一戰iPhone
- 埃森哲:雲端計算的綠色效應
- windows中安裝MySQL綠色社群版(5.7.17-winx64)WindowsMySql
- win10怎樣把word背景色調成綠色_win10系統下word背景顏色怎麼變為綠色Win10
- FTP工具FlashFXP綠色破解版下載FTP
- 批處理安裝綠色版MySQL 5.7.24MySql
- Capture One Pro 23綠色中文版最新APT
- BT下載工具qbittorrent綠色便攜版
- 元氣桌面桌布免安裝綠色版
- [Mysql] 1.Mysql 5.7 綠色安裝(windows)MySqlWindows
- 免安裝(綠色)版maven整合myeclipseMavenEclipse
- Win10系統中OneDrive同步綠色對勾如何去除 win10中怎麼將oneDrive同步檔案上綠色小勾去掉Win10