作者:
騰訊電腦管家
·
2015/07/14 12:14
0x00 背景
近期,騰訊反病毒實驗室攔截到了大量試圖透過替換windows系統檔案來感染系統的木馬,經過回溯分析,發現其主要是透過偽裝成“37遊戲線上”等安裝包進行推廣傳播,感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁和推廣流氓軟體,木馬管家已經全面攔截和查殺。同時該木馬與之前的“黑狐”木馬在上報資料包、程式碼風格、伺服器分佈等有極大的相似性,可以確定是同一作者所為。而透過該木馬多個樣本的pdb路徑,我們得知該木馬專案名稱為“肥兔”。
0x01 功能簡介
“肥兔”木馬會透過多種方式向下推廣,日均推廣量10W+,推廣後會透過替換系統檔案而長期駐留在系統中,對系統穩定性和使用者的隱私安全造成極大的威脅,目前該木馬主要是透過流氓推廣和瀏覽器鎖主頁來實現盈利,如果你的瀏覽器主頁被改成www.2345.com/?32420,那麼很可能就中了“肥兔”木馬。
“肥兔”木馬功能示意圖
“肥兔”木馬模組分工示意圖
0x02 木馬作者背景分析
透過反查域名tianxinli.org
、3gfetion.com
得到註冊資訊如下:
域名:tianxinli.org
域名ID: D176563201-LROR
註冊時間: 2015-06-15T06:27:28Z
更新時間: 2015-06-15T06:27:28Z
過期時間: 2016-06-15T06:27:28Z
域名所有者:yu ying
註冊人郵件:[email protected]
域名: 3GFETION.COM
域名ID: 1938775105_DOMAIN_COM-VRSN
註冊時間: 2015-06-15T07:23:07Z
更新時間: 2015-06-15T07:23:07Z
域名所有者: yu ying
註冊人郵件: [email protected]
兩個域名是同一天註冊,而且是同一個人持有。可以基本判定,網站持有者為病毒釋出者。再透過對註冊郵箱的反查,可以看到這個組織持有很多域名,並且,故意使持有者姓名不同,來對抗社工。
將所有[email protected]
註冊的郵箱的手機號整理後,發現只指向兩個號碼。進而,透過手機號可以查到該組織成員的一些資訊:
陳* QQ:383****** 865***** Tel:15869****** 18067****** Email:[email protected] [email protected]**.com
劉* QQ:304****** 185****** Tel:15957****** 15869****** 15957******
在QQ上發現工作郵箱,順手去看了下他們公司官網。
公司域名是由張XX註冊的,就查了下,結果:
可以看出,該公司是有過前科的,而且,剛好是做推廣的,不得不懷疑下。
接下來,就不挖作者資訊了,看看統計的後臺,掃了下網站,發現原始碼洩漏。拿下原始碼看了看整站目錄結構、命名並不那麼規範。
tj.php是木馬要訪問的,跟進去發現,它每天都會對推廣的數量進行統計。審計原始碼後,發現,其對要insert的資料沒有做過濾處理。於是構造payload,用sqlmap跑起來。得到資料庫表資訊如下:
後臺每天新建一張表來統計當天安裝日誌以及前一天的上線日誌。
隨意Dump了其中一張表,看到一個驚人的安裝數量:
從後臺資料可以看出,該木馬從15年5月11日開始推廣,平均日推廣量10萬以上,在2015年7月11日達到了64萬之多。
0x03 詳細技術分析
3.1 setup_3l.exe檔案分析
樣本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新遊戲線上
樣本執行後下載了一張圖片http://less.3gfetion.com/logo.png,該圖片尾部附加了大量的二進位制資料,將其解密後得到一個名為FeiTuDll.dll的檔案,並在記憶體中載入執行。這也是“肥兔”木馬名字的來源,以下是FeiTuDll.dll檔案的屬性資訊,以及PDB路勁資訊。
3.2 FeiTuDll.dll 檔案分析
樣本MD5:a5b262da59a352b1c4470169183e094b
FeiTuDll.dll執行後,收集以下資訊:
- 透過int.dpool.sina.com.cn獲取本機外網IP及歸屬地等資訊
- 檢測本機殺軟安裝情況:檢測是否存在zhudongfangyu.exe等360系程式、QQPCTray.exe等管家系程式、kextray.exe等金山系程式;
- 檢測本機是否為網咖機器:透過檢測wanxiang.exe、yaoqianshu.exe等程式來判斷是否是網咖機器;
- 本機MAC地址
- 本機作業系統版本
收集完成後將資訊提交到http://count.tianxinli.org/player/tj.php
引數格式及說明如下:
op=install (操作)
ri= (當前程式名)
mc= (MAC地址)
vs=1.0.0.1 (木馬版本)
dq= (int.dpool.sina.com.cn返回的IP等資訊)
sd= (防毒軟體情況:360SecurityGuard、QQhousekeep、KingSoft之一或組合)
os=(作業系統版本)
sc= (螢幕解析度)
bar= (是否網咖 1:是 0:否)
tm= (當前時間戳)
key= (以上資訊的MD5校驗)
接收伺服器返回的資訊,判斷是否含有“az”字元設定相應的標誌,木馬後臺會根據提交的MAC資訊判斷此機器是否感染過,如果感染過則返回“az”,否則不返回任何資訊。
隨後木馬會下載“大天使之劍”的安裝包到本地,並執行安裝。
安裝完成後根據之前是否返回“az”還決定隨後行為,如果返回“az”則退出程式,不再有其它行為;如果未返回“az”,則進行以下行為:判斷當前作業系統版本是32位或64位載入不同的資原始檔,最終在臨時目錄下釋放tmp.exe和yrd.tmp,在windows目錄下釋放yre.tmp,並將yrd.tmp檔案路勁作為引數執行tmp.exe。完成以上行為後判斷系統檔案是否已經替換成功,並負責關閉windows檔案保護相關的警告視窗。
3.3 tmp.exe 檔案分析
根據作業系統型別,首先刪除dllcache目錄中的Sens.dll或Cscdll.dll(x86);然後用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll(x86)。
3.4 yrd.tmp (Sens.dll、Cscdll.dll)檔案分析
捕捉到的其中幾個廣度較大的變種MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
該檔案的PDB資訊如下:
該檔案在系統啟動時會被winlogon程式載入,其功能是解密%windir%\yre.tmp檔案並儲存為%windir%\svchost.exe,最後將其執行兩次,即建立兩個程式。
3.5 %WinDir%\svchost.exe檔案分析
該檔案pdb資訊如下:
該檔案同時被執行兩次,根據互斥量來進行如下不同的分工:
1、先被執行的程式行為:
- 釋放LKS19.tmp驅動檔案並載入
- 建立名為sysPipa的管道接收命令
- 與驅動進行通訊,將命令傳遞給驅動
2、後被執行的程式行為:
- 獲取本機各種資訊傳送到http://count.tianxinli.org/player/tj.php,引數格式與FeiTuDll.dll相同。
- 查詢殺軟程式,並將pid傳遞給sysPipa管道,用於結束殺軟程式
- 從以下地址下載檔案到本地執行,在本地儲存為SVCH0ST.exe http:[email protected]
- 關閉UAC
3.6 驅動檔案LKS19.tmp分析
該驅動檔案具有以下功能:
- 註冊CreateProcess回撥,透過給瀏覽器程式新增命令列的方式實現主頁鎖定
- 根據命令修改鎖定的主頁地址
- 根據命令,結束指定的程式
- 根據命令,hook指定的SSDT表函式
3.7 SVCH0ST.exe檔案分析:
該檔案PDB資訊如下:該模組的功能主要是透過百度有錢推廣獲利
推廣的軟體列表如下:
0x04 查殺方式
對於安裝了電腦管家的使用者,無需做任何處理,管家已經能夠精準攔截該木馬及其變種。
對於未安裝管家而感染了該木馬的使用者,安裝管家後使用閃電防毒可完美清除該木馬。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!