0x01 概況

---

近日，騰訊反病毒實驗室攔截到一個惡意推廣木馬大範圍傳播，總傳播量上百萬，經分析和排查發現該木馬具有以下特徵：

1） 該木馬是透過網頁掛馬的方式傳播的，經分析駭客用來掛馬的漏洞是前段時間Hacking Team事件爆出的flash漏洞CVE-2015-5122。新版本的Flash Player已經修復了該漏洞，但是國內仍有大量的電腦未進行更新，給該木馬的傳播創造了條件。

2） 經分析和追蹤，發現掛馬的主體是一個廣告flash，大量存在於博彩類網站、色情類網站、外掛私服類網站、中小型下載站等，以及部分流氓軟體的彈窗中，影響廣泛。

3） 掛馬的漏洞影響Windows、MacOSX和Linux平臺上的IE、Chrome瀏覽器等主流瀏覽器。經測試，在未打補丁電腦上均可觸發掛馬行為，國內主流瀏覽器均未能對其進行有效攔截和提醒。

4） 木馬更新變種速度快，平均2-3小時更換一個新變種，以此逃避安全軟體的檢測，同時可降低單個檔案的廣度，逃過安全軟體的廣度監控。

5） 該木馬主要功能是靜默安裝多款流氓軟體，部分被安裝的流氓軟體具有向安卓手機靜默安裝應用的功能，危害嚴重。同時該木馬還玩起“黑吃黑”——能夠清除已在本機安裝的常見的其它流氓軟體，達到獨佔電腦的目的。

圖1. Flash 漏洞掛馬示意圖

0x02 掛馬網站分析

---

經分析和追蹤，發現掛馬的主體是一個廣告flash，當訪問到掛馬網站時，該flash檔案會被自動下載並播放，從而觸發漏洞導致感染木馬。如圖2所示。

圖2. 被掛馬的網站之一

圖3所示為帶木馬的Flash檔案，有趣的是如果當前電腦flash已經打補丁，則顯示正常的廣告，如果flash未打相應補丁則會觸發漏洞，在瀏覽器程式內執行ShellCode。

圖3. 掛馬的flash檔案

透過反編譯flash檔案可以發現，該flash是在Hacking Team洩漏程式碼的基礎上修改而來的，該flash使用doswf做了加密和混淆，以增加安全人員分析難度。如圖4所示為掛馬flash程式碼。

圖4. 掛馬的flash檔案反編譯程式碼

漏洞觸發後，直接在瀏覽器程式中執行ShellCode程式碼，該ShellCode的功能是下載hxxp://222.186.10.210:8861/calc.exe到本地，存放到瀏覽器當前目錄下，檔名為explorer.exe並執行。

圖5. ShellCode經混淆加密，其主要功能是下載執行

Explorer.exe為了逃避殺軟的查殺，其更新速度非常塊，平均2-3小時更新變種一次，其變種除了修改程式碼以逃避特徵外，其圖示也經常變動，以下是收集到的explorer.exe檔案的部分圖示，可以發現主要是使用一些知名軟體的圖示進行偽裝。

圖6. 木馬使用的偽裝圖示列表

該木馬傳播量巨大，為了防止樣本廣度過高被安全廠商發現，變種速度飛快，該木馬10月中旬開始傳播，截至目前總傳播量上萬的變種MD5統計如下：

圖7. 截至目前總傳播量上萬的變種MD5列表

0x03 木馬行為分析

---

木馬執行後會透過檢測判斷是否存在c:\okokkk.txt檔案，如果存在則表示已經感染過不再感染，木馬退出，如果不存在則建立該檔案，然後建立兩個執行緒，分別用於安裝推廣流氓軟體和清理非自己推廣的流氓軟體等。

圖8. 透過判斷“C:\okokkk.txt”檔案來防止重複感染

“黑吃黑”是此木馬的一大特色，木馬執行後專門建立了一個執行緒，用於檢測和刪除其它軟體的桌面快捷方式、開始選單項中的目錄等，刪除的專案大部分為流氓軟體，其內建的列表堪稱流氓軟體大全，涵蓋大量的流氓軟體，以下只是列表的一部分。

圖9. 部分被刪除的桌面快捷方式

圖10. 木馬要刪除的部分選單項列表

迴圈結束指定程式，包括taskmgr（工作管理員）、QQPCDownload（管家線上安裝）等多款軟體的安裝程式。

圖11. 迴圈結束指定程式

向統計頁面傳送資訊，統計安裝量，隨後下載並靜默安裝以下軟體（共11款），其中hbsetup64.exe是一款流氓軟體，能夠靜默向連線電腦的安卓手機安裝手機應用，危害嚴重

圖 12.該木馬靜默推廣的軟體列表及安裝統計地址

0x04 後記

---

被稱作“駭客核武庫”的Hacking Team洩漏資料大大降低了駭客攻擊的門檻，把整個黑色產業鏈的技術水平提高一個檔次，攻擊者僅需要對執行緒的程式碼做少量的修改便可生成強大的攻擊“武器”，對整個網際網路安全構成了嚴重的威脅，還希望廣大網際網路使用者及時安裝相關安全補丁。