0x00 背景

---

攔截量一夜之間從零增長到20多萬，透過回溯發現主要由“剛需”的色情播放器推廣安裝。然而分析時該軟體卻表現地很無辜——直接安裝執行，看其功能就是為了實現按下按鍵播放對應的聲音,幾乎沒有什麼惡意行為。然而經測試，其功能並不完善，點選線上升級不進行任何判斷就直接彈出當前已是最新版本的提示，這真的就是軟體的全部功能嗎？

（圖1：木馬攔截量呈爆發式增長）

0x01 樣本簡介

---

軟體名稱：會說話的鍵盤
檔名：Key_jpls_9181068.exe
MD5：40dd0aca08e51406179f61cbc382ea84
行為簡介：安裝時判斷自身檔名，不符合規則就彈出安裝嚮導，符合則直接靜默安裝，安裝後在%appdata%\TsanZioxs目錄下釋放如下檔案，並執行。

(圖2：安裝後釋放檔案)

其中Sound目錄下除了很多聲音檔案外，還有兩個資料檔案。

（圖3：Sound目錄下部分檔案）

執行後看著像是正常的軟體，有介面、有看似正常的功能。

（圖4：工作列建立圖示）

（圖5：點選圖示後的相關介面）

0x02 詳細分析

---

QcemTiosp.exe行為：

1、在工作列的通知區域建立圖示，並建立相關的介面進行偽裝，然而軟體本身並不能實現播放按鍵聲音的功能。如果符合條件，重啟機器後將不會再出現相關介面，直接在後臺執行。整個木馬程式碼中被大量加入了異常處理函式並主動丟擲異常,用於干擾分析。

（圖6）

2、建立執行緒開始木馬行為：首先獲取MAC地址，並使用雜湊演算法將MAC地址計算成一個hash值，隨後將其傳送到udp.1qingling.com.cn:2005,為了隱蔽該通訊使用UDP協議。

（圖7）

（圖8）

（圖9）

3、接收伺服器返回的資料，判斷返回的相應值，如果是0x191，則不進行任何行為。

（圖10）

4、為什麼只上傳了MAC的hash值就會返回0x191呢？難道有黑名單？或者透過MAC判斷虛擬機器？然而並不是，多次測試後發現該返回值與當前的ip地址有關係，比如在對北京、深圳、成都、杭州四個城市的測試中，發現只有北京和深圳返回了0x191，看來該木馬至少避開了北京和深圳的使用者。

（圖11）

5、如果當前城市不是要遮蔽的城市，則不再裝無辜，露出真面目，開始木馬行為：首先建立開機自啟動項長期駐紮電腦，隨後將Sound目錄下的Enter.bin檔案對映到記憶體。

（圖12）

6、經分析Enter.bin和Space.bin檔案都是經過壓縮的，壓縮相關的引數存在檔案的末尾，分別透過搜尋Space和Enter關鍵詞來定位壓縮相關引數，如下圖所示：

（圖13）

（圖14）

7、獲取到相關引數後使用zlib庫進行解壓，該木馬靜態編譯了zlib庫，版本為1.2.3

（圖15）

8、解壓成功後對檔案進行簡單的校驗，確認是PE檔案後建立自身傀儡程式，將解壓出的PE注入到傀儡程式中執行。

（圖16）

（圖17）

（圖18）

0x03 Enter.exe行為

---

該檔案由Enter.bin解壓而來不落地，MD5：1DCC1E25CF884AF7AF6EA3927CAB9D6E

1、下載http://config.1qingling.com/biz/810.xml配置檔案，該配置檔案經過加密，解密後內容如圖19。該木馬的主要功能分三塊，第一是流氓推廣、第二是彈窗，第三是右下角彈窗。每個功能都配置了生效時間，彈窗頻率和時間等。

（圖19）

2、解析配置檔案，根據配置檔案進行下載推廣行為。

（圖20）

（圖21推廣的檔案）

3、配置中的彈窗功能程式碼則不在此檔案中，其以載入Enter.bin相同的方式載入Space.bin檔案並在記憶體中載入，隨後將配置檔案中的引數作為命令列引數建立自身傀儡程式，將Space.bin注入執行。

（圖22）

（圖23）

0x04 Space.exe行為

---

該檔案由Space.bin解壓而來不落地，MD5：1DCC1E25CF884AF7AF6EA3927CAB9D6E

1、該檔案的主要功能是從命令列引數中獲取彈窗相關的引數資訊，進行彈窗行為。

（圖24）

具體彈窗行為：

1）大的彈窗廣告如圖25：對應配置檔案中的<Right>標籤

(圖25)

2）右下角彈窗廣告如圖26：對應配置檔案中的<Minimax>標籤

（圖26）

0x05 後記：

---

隨著安全軟體的普及，純粹木馬的生存空間越來越小，更多的木馬在看似正常的軟體中插入惡意程式碼進行偽裝，除了後臺的惡意程式碼外，其在前臺還建立了相應的偽裝介面，儘量把自己裝得單純無害，甚至還會透過ip限制等手段逃避安全廠商的分析。

該木馬的惡意推廣列表中的大部分是流氓軟體，還有少數危害嚴重的木馬程式，且待下回分析。