作者:
騰訊電腦管家
·
2015/11/27 12:39
0x00 背景
攔截量一夜之間從零增長到20多萬,透過回溯發現主要由“剛需”的色情播放器推廣安裝。然而分析時該軟體卻表現地很無辜——直接安裝執行,看其功能就是為了實現按下按鍵播放對應的聲音,幾乎沒有什麼惡意行為。然而經測試,其功能並不完善,點選線上升級不進行任何判斷就直接彈出當前已是最新版本的提示,這真的就是軟體的全部功能嗎?
(圖1:木馬攔截量呈爆發式增長)
0x01 樣本簡介
軟體名稱:會說話的鍵盤
檔名:Key_jpls_9181068.exe
MD5:40dd0aca08e51406179f61cbc382ea84
行為簡介:安裝時判斷自身檔名,不符合規則就彈出安裝嚮導,符合則直接靜默安裝,安裝後在%appdata%\TsanZioxs目錄下釋放如下檔案,並執行。
(圖2:安裝後釋放檔案)
其中Sound目錄下除了很多聲音檔案外,還有兩個資料檔案。
(圖3:Sound目錄下部分檔案)
執行後看著像是正常的軟體,有介面、有看似正常的功能。
(圖4:工作列建立圖示)
(圖5:點選圖示後的相關介面)
0x02 詳細分析
QcemTiosp.exe行為:
1、在工作列的通知區域建立圖示,並建立相關的介面進行偽裝,然而軟體本身並不能實現播放按鍵聲音的功能。如果符合條件,重啟機器後將不會再出現相關介面,直接在後臺執行。整個木馬程式碼中被大量加入了異常處理函式並主動丟擲異常,用於干擾分析。
(圖6)
2、建立執行緒開始木馬行為:首先獲取MAC地址,並使用雜湊演算法將MAC地址計算成一個hash值,隨後將其傳送到udp.1qingling.com.cn:2005
,為了隱蔽該通訊使用UDP協議。
(圖7)
(圖8)
(圖9)
3、接收伺服器返回的資料,判斷返回的相應值,如果是0x191,則不進行任何行為。
(圖10)
4、為什麼只上傳了MAC的hash值就會返回0x191呢?難道有黑名單?或者透過MAC判斷虛擬機器?然而並不是,多次測試後發現該返回值與當前的ip地址有關係,比如在對北京、深圳、成都、杭州四個城市的測試中,發現只有北京和深圳返回了0x191,看來該木馬至少避開了北京和深圳的使用者。
(圖11)
5、如果當前城市不是要遮蔽的城市,則不再裝無辜,露出真面目,開始木馬行為:首先建立開機自啟動項長期駐紮電腦,隨後將Sound目錄下的Enter.bin檔案對映到記憶體。
(圖12)
6、經分析Enter.bin和Space.bin檔案都是經過壓縮的,壓縮相關的引數存在檔案的末尾,分別透過搜尋Space和Enter關鍵詞來定位壓縮相關引數,如下圖所示:
(圖13)
(圖14)
7、獲取到相關引數後使用zlib庫進行解壓,該木馬靜態編譯了zlib庫,版本為1.2.3
(圖15)
8、解壓成功後對檔案進行簡單的校驗,確認是PE檔案後建立自身傀儡程式,將解壓出的PE注入到傀儡程式中執行。
(圖16)
(圖17)
(圖18)
0x03 Enter.exe行為
該檔案由Enter.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E
1、下載http://config.1qingling.com/biz/810.xml
配置檔案,該配置檔案經過加密,解密後內容如圖19。該木馬的主要功能分三塊,第一是流氓推廣、第二是彈窗,第三是右下角彈窗。每個功能都配置了生效時間,彈窗頻率和時間等。
(圖19)
2、解析配置檔案,根據配置檔案進行下載推廣行為。
(圖20)
(圖21推廣的檔案)
3、配置中的彈窗功能程式碼則不在此檔案中,其以載入Enter.bin相同的方式載入Space.bin檔案並在記憶體中載入,隨後將配置檔案中的引數作為命令列引數建立自身傀儡程式,將Space.bin注入執行。
(圖22)
(圖23)
0x04 Space.exe行為
該檔案由Space.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E
1、該檔案的主要功能是從命令列引數中獲取彈窗相關的引數資訊,進行彈窗行為。
(圖24)
具體彈窗行為:
1)大的彈窗廣告如圖25:對應配置檔案中的<Right>
標籤
(圖25)
2)右下角彈窗廣告如圖26:對應配置檔案中的<Minimax>
標籤
(圖26)
0x05 後記:
隨著安全軟體的普及,純粹木馬的生存空間越來越小,更多的木馬在看似正常的軟體中插入惡意程式碼進行偽裝,除了後臺的惡意程式碼外,其在前臺還建立了相應的偽裝介面,儘量把自己裝得單純無害,甚至還會透過ip限制等手段逃避安全廠商的分析。
該木馬的惡意推廣列表中的大部分是流氓軟體,還有少數危害嚴重的木馬程式,且待下回分析。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!