0x00 背景

---

近期，騰訊反病毒實驗室攔截到了大量試圖透過替換windows系統檔案來感染系統的木馬，經過回溯分析，發現其主要是透過偽裝成“37遊戲線上”等安裝包進行推廣傳播，感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁和推廣流氓軟體，木馬管家已經全面攔截和查殺。同時該木馬與之前的“黑狐”木馬在上報資料包、程式碼風格、伺服器分佈等有極大的相似性，可以確定是同一作者所為。而透過該木馬多個樣本的pdb路徑，我們得知該木馬專案名稱為“肥兔”。

0x01 功能簡介

---

“肥兔”木馬會透過多種方式向下推廣，日均推廣量10W+，推廣後會透過替換系統檔案而長期駐留在系統中，對系統穩定性和使用者的隱私安全造成極大的威脅，目前該木馬主要是透過流氓推廣和瀏覽器鎖主頁來實現盈利，如果你的瀏覽器主頁被改成www.2345.com/?32420，那麼很可能就中了“肥兔”木馬。

“肥兔”木馬功能示意圖

“肥兔”木馬模組分工示意圖

0x02 木馬作者背景分析

---

透過反查域名tianxinli.org、3gfetion.com得到註冊資訊如下：

域名：tianxinli.org  
域名ID： D176563201-LROR
註冊時間： 2015-06-15T06:27:28Z
更新時間： 2015-06-15T06:27:28Z
過期時間： 2016-06-15T06:27:28Z
域名所有者：yu ying
註冊人郵件：[email protected]

域名： 3GFETION.COM
域名ID: 1938775105_DOMAIN_COM-VRSN
註冊時間: 2015-06-15T07:23:07Z
更新時間: 2015-06-15T07:23:07Z
域名所有者: yu ying
註冊人郵件: [email protected]

兩個域名是同一天註冊，而且是同一個人持有。可以基本判定，網站持有者為病毒釋出者。再透過對註冊郵箱的反查，可以看到這個組織持有很多域名，並且，故意使持有者姓名不同，來對抗社工。

將所有[email protected]註冊的郵箱的手機號整理後，發現只指向兩個號碼。進而，透過手機號可以查到該組織成員的一些資訊：

陳*   QQ：383******   865*****    Tel：15869******   18067******    Email：[email protected]    [email protected]**.com
劉*   QQ：304******   185******   Tel：15957******   15869******    15957******  

在QQ上發現工作郵箱，順手去看了下他們公司官網。

公司域名是由張XX註冊的，就查了下，結果：

可以看出，該公司是有過前科的，而且，剛好是做推廣的，不得不懷疑下。

接下來，就不挖作者資訊了，看看統計的後臺，掃了下網站，發現原始碼洩漏。拿下原始碼看了看整站目錄結構、命名並不那麼規範。

tj.php是木馬要訪問的，跟進去發現，它每天都會對推廣的數量進行統計。審計原始碼後，發現，其對要insert的資料沒有做過濾處理。於是構造payload，用sqlmap跑起來。得到資料庫表資訊如下：

後臺每天新建一張表來統計當天安裝日誌以及前一天的上線日誌。

隨意Dump了其中一張表，看到一個驚人的安裝數量：

從後臺資料可以看出，該木馬從15年5月11日開始推廣，平均日推廣量10萬以上，在2015年7月11日達到了64萬之多。

0x03 詳細技術分析

---

3.1 setup_3l.exe檔案分析

樣本MD5：fc4631e59cf1cf3a726e74f062e25c2e  描述：37最新遊戲線上

樣本執行後下載了一張圖片http://less.3gfetion.com/logo.png，該圖片尾部附加了大量的二進位制資料，將其解密後得到一個名為FeiTuDll.dll的檔案，並在記憶體中載入執行。這也是“肥兔”木馬名字的來源，以下是FeiTuDll.dll檔案的屬性資訊，以及PDB路勁資訊。

3.2 FeiTuDll.dll 檔案分析

樣本MD5：a5b262da59a352b1c4470169183e094b FeiTuDll.dll執行後，收集以下資訊：

1. 透過int.dpool.sina.com.cn獲取本機外網IP及歸屬地等資訊
2. 檢測本機殺軟安裝情況：檢測是否存在zhudongfangyu.exe等360系程式、QQPCTray.exe等管家系程式、kextray.exe等金山系程式；
3. 檢測本機是否為網咖機器：透過檢測wanxiang.exe、yaoqianshu.exe等程式來判斷是否是網咖機器；
4. 本機MAC地址
5. 本機作業系統版本

收集完成後將資訊提交到http://count.tianxinli.org/player/tj.php

引數格式及說明如下：

op=install （操作）
ri= （當前程式名）
mc= （MAC地址）
vs=1.0.0.1 （木馬版本）
dq= （int.dpool.sina.com.cn返回的IP等資訊）
sd= （防毒軟體情況：360SecurityGuard、QQhousekeep、KingSoft之一或組合）
os=（作業系統版本）
sc= （螢幕解析度）
bar= （是否網咖 1：是 0：否）
tm= （當前時間戳）
key= （以上資訊的MD5校驗）

接收伺服器返回的資訊，判斷是否含有“az”字元設定相應的標誌，木馬後臺會根據提交的MAC資訊判斷此機器是否感染過，如果感染過則返回“az”，否則不返回任何資訊。

隨後木馬會下載“大天使之劍”的安裝包到本地，並執行安裝。

安裝完成後根據之前是否返回“az”還決定隨後行為，如果返回“az”則退出程式，不再有其它行為；如果未返回“az”，則進行以下行為：判斷當前作業系統版本是32位或64位載入不同的資原始檔，最終在臨時目錄下釋放tmp.exe和yrd.tmp，在windows目錄下釋放yre.tmp，並將yrd.tmp檔案路勁作為引數執行tmp.exe。完成以上行為後判斷系統檔案是否已經替換成功，並負責關閉windows檔案保護相關的警告視窗。

3.3 tmp.exe 檔案分析

根據作業系統型別，首先刪除dllcache目錄中的Sens.dll或Cscdll.dll（x86）；然後用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll（x86）。

3.4 yrd.tmp （Sens.dll、Cscdll.dll）檔案分析

捕捉到的其中幾個廣度較大的變種MD5如下：

f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019

該檔案的PDB資訊如下：

該檔案在系統啟動時會被winlogon程式載入，其功能是解密%windir%\yre.tmp檔案並儲存為%windir%\svchost.exe，最後將其執行兩次，即建立兩個程式。

3.5 %WinDir%\svchost.exe檔案分析

該檔案pdb資訊如下：

該檔案同時被執行兩次，根據互斥量來進行如下不同的分工：

1、先被執行的程式行為：

1. 釋放LKS19.tmp驅動檔案並載入
2. 建立名為sysPipa的管道接收命令
3. 與驅動進行通訊，將命令傳遞給驅動

2、後被執行的程式行為：

1. 獲取本機各種資訊傳送到http://count.tianxinli.org/player/tj.php，引數格式與FeiTuDll.dll相同。
2. 查詢殺軟程式，並將pid傳遞給sysPipa管道，用於結束殺軟程式
3. 從以下地址下載檔案到本地執行，在本地儲存為SVCH0ST.exe http:[email protected]
4. 關閉UAC

3.6 驅動檔案LKS19.tmp分析

該驅動檔案具有以下功能：

1. 註冊CreateProcess回撥，透過給瀏覽器程式新增命令列的方式實現主頁鎖定
2. 根據命令修改鎖定的主頁地址
3. 根據命令，結束指定的程式
4. 根據命令，hook指定的SSDT表函式

3.7 SVCH0ST.exe檔案分析：

該檔案PDB資訊如下：該模組的功能主要是透過百度有錢推廣獲利

推廣的軟體列表如下：

0x04 查殺方式

---

對於安裝了電腦管家的使用者，無需做任何處理，管家已經能夠精準攔截該木馬及其變種。

對於未安裝管家而感染了該木馬的使用者，安裝管家後使用閃電防毒可完美清除該木馬。