警惕 雲控廣告“遊戲盒子”死灰復燃
近日,360網際網路安全中心攔截了大量可疑流氓推廣樣本,這些樣本偽裝成遊戲盒子,安裝後接收雲端指令,會強制下載推廣軟體,彈窗,修改主頁,透過使用者的電腦賺取大量的利益,本文將對此樣本詳細分析.
0x00 概述
該木馬透過下載站捆綁傳播,安裝後潛伏25分鐘,25分鐘後向伺服器傳送機器資訊(系統版本,軟體版本號等),收到指令後下載推廣軟體和刷流量軟體,系統重啟後靜默安裝同時啟動刷流量的軟體,佔用系統大量資源和流量.總感染量達數千萬.
0x01 樣本資訊
圖 1 安裝包
Setup11009.exe
檔案大小: 362752 位元組
MD5 e20ecf2a617ae0a063b49668a64577ec
安裝包和程式都使用同一個簽名
0x02 行為分析
1) 安裝後目錄結構:
圖 2 目錄結構
2) 程式列表中:
程式名為 gmbox Redistributable Package(kb20140526) ,偽裝成Windows補丁包程式
時間為真實安裝時間的一年前
圖 3 控制皮膚-解除安裝程式-顯示
3) 開始選單顯示為 GXBox遊戲
圖 4 開始選單
4) 托盤顯示圖示
圖 5 托盤圖示
5) 開啟後,偽裝成遊戲廣告
圖 6 主介面
6) 新增服務,名稱為GmXbox_update, dll路徑指向安裝目錄下的gmbox.dll
圖 7 服務名稱
圖 8 服務DLL路徑
7) 在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run新增啟動項,引數為 -tray,每次啟動不顯示主介面,只有托盤圖示
圖 9 啟動項
8) 安裝後25分鐘,在臨時目錄下載了數個廣告軟體和安裝程式
圖 10 下載安裝包
圖 11 臨時目錄中下載的安裝包
其中
- ir56.exe 呼叫下載的廣告程式安裝包.
- hw.dat 遍歷安裝程式,使其視窗隱藏.
- ck.dat 刷網站流量.
這3個程式的PE頭被修改,防止被殺軟查殺.
圖 12 修改後的PE頭
其他為廣告軟體安裝程式.
系統重啟後,廣告程式全部都靜默安裝
0x03 技術細節
1) 安裝過程:
A) 安裝包使用NSIS打包
首先,禁用常用程式的快速啟動工作列顯示,為後面安裝軟體留位置
WriteRegStr HKCR Applications\$_gmbox_.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmain.exe NoStartPage ""
WriteRegStr HKCR Applications\360sd.exe NoStartPage ""
WriteRegStr HKCR Applications\rsagent.exe NoStartPage ""
WriteRegStr HKCR Applications\360safe.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmctray.exe NoStartPage ""
WriteRegStr HKCR Applications\kav.exe NoStartPage ""
WriteRegStr HKCR Applications\rsstub.exe NoStartPage ""
WriteRegStr HKCR Applications\SHPlayer.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia2.exe NoStartPage ""
WriteRegStr HKCR Applications\Uninst.exe NoStartPage ""
B) 刪除桌面和IE中的網址導航快捷方式
Delete $DESKTOP\*123*.lnk
Delete $DESKTOP\*123*.url
Delete $DESKTOP\*Int*.lnk
Delete $DESKTOP\*Int*.url
Delete $DESKTOP\*1nt*.lnk
Delete $DESKTOP\*1nt*.url
Delete $DESKTOP\*網址*.lnk
Delete $DESKTOP\*網址*.url
Delete $DESKTOP\*導航*.lnk
Delete $DESKTOP\*導航*.url
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.url"
Delete $INSTDIR\ad.dat
C) 呼叫gmbox.dll的Install函式,安裝服務
圖 13 安裝指令碼-呼叫gmbox.dll Install函式
D) 修改安裝時間為當前時間的前1年.
圖 14 安裝指令碼-修改安裝時間
2) 主程式 gmbox.exe
A) 傳送客戶資訊資料包: 內容包括PID(用於識別客戶端),推廣渠道ID,版本號,當前時間
圖 15 資料包
B) 加密後Post到 http://sj.go2050.com/rcsj.ashx
圖 16 post資料
C) 註冊雲控命令處理函式,可以看到有獲取作業系統版本,執行任務,開啟URL,執行雲控命令,讀取登錄檔,獲取和設定主頁等功能.
圖 17 註冊雲控命令相應函式
D) 其中doTask1函式中接收到URL然後下載檔案到臨時目錄
圖 18 下載廣告軟體
E) 獲取廣告軟體指令單,id=11009猜測可能是渠道號
圖 19 獲取指令單
其中帶有-kboxsvc標記的(即ir56.exe)是安裝軟體.
F) 下載完成後把ir56.exe路徑加密後, 新增到gmbox安裝目錄下的gmbox.ini檔案nrd欄位
圖 20 加密後的ir56.exe路徑
3) 服務程式 gmbox.dll
A) SERVICE_CONTROL_SHUTDOWN事件響應函式:
當系統關機時,函式執行,讀取gmbox.ini中的nrd欄位,即安裝程式ir56.exe的路徑,解密後設定RunOnce啟動項.
圖 21 設定ir56.exe啟動項
B) 遍歷下載的檔案,判斷PE檔案標誌,如果是修改過的exe,則恢復MZ和PE標記
圖 22 還原PE檔案
C) 新增啟動項,不顯示主介面,只有托盤圖示
圖 23 新增gmbox.exe啟動項
D) 新增系統服務
圖 24 建立gmbox update服務
E) 判斷是否有除錯程式,沒有則以 -g引數啟動gmbox.exe,自動升級程式.
圖 25 遍歷檢測是否有指定程式
F) 加密後的檢測程式名稱列表
圖 26 加密後的程式名稱
G) dll還可以向指定網站透過SOAP協議獲取捆綁軟體的資料,彈窗資料,統計活躍資料,採集主機的資訊.記錄安裝和解除安裝的資料等
圖 27 呼叫採集介面
圖 28 獲取和採集資料介面說明
0x04 意外發現
在軟體獲取最新版本號的地址 http://dh.go2050.com/download/version.xml 的上層目錄中我們發現了anote(多彩便籤)的安裝包,下載後分析判定和gmbox高度相似.
圖 29 anote安裝包下載
1) 註冊雲控命令處理函式
圖 30 gmbox註冊雲控命令處理函式
圖 31 anote註冊雲控命令處理函式
2) 字串加密函式
圖 32 gmbox.dll 字串加密函式
圖 33 anote.dll 字串加密函式
3) 加密的字串表
圖 34 gmbox.dll 加密的字串表
圖 35 anote.dll 加密的字串表
這個字串列表被_UnInstall函式引用,用於判斷是使用者手動解除安裝還是第三方管理軟體解除安裝,並把結果傳送到伺服器做統計.
圖 36 判斷是否是使用者手動解除安裝
圖 37 構建傳送字串
圖 38 傳送統計資料
圖 39 安裝攔截
總結: 透過分析我們發現,該木馬新增了系統服務,啟動後過一段時間才觸發行為,下載的安裝程式去除了PE特徵,以此逃過殺軟掃描,系統關機時恢復PE檔案,重啟後安裝推廣軟體,潛伏性、隱蔽性較強,中招之後較難發現,建議使用者安裝專業的安全軟體,養成良好的上網習慣,從正規下載網站或者軟體管家下載軟體,不要執行來歷不明的軟體.安裝軟體時注意取消預設勾選的捆綁軟體.
相關文章
- 阿里宣佈取消的週報又死灰復燃?3分鐘的高效報表才是最後出路阿里
- bt遊戲盒子排行榜遊戲盒子哪個好 bt遊戲盒子排行遊戲
- 手遊gm盒子 遊戲盒子gm版遊戲
- bt手遊遊戲盒子大全 BT遊戲盒子排行榜遊戲
- gm公益服手機遊戲盒子 gm包站遊戲盒子推薦遊戲
- 傳奇遊戲盒子哪個好用 傳奇變態遊戲盒子遊戲
- 變態遊戲手機盒子 變態手機遊戲盒子哪個好遊戲
- bt遊戲盒子最好的是哪個 bt手機遊戲盒子排行榜遊戲
- 手遊盒子app哪個最好 最好的手機遊戲盒子APP遊戲
- 警惕遊戲融資視窗正在關閉遊戲
- 手遊變態版遊戲盒子 bt變態版遊戲盒子app排行榜遊戲APP
- bt手遊盒子app排行 變態遊戲盒子哪個好APP遊戲
- 傳奇盒子平臺有哪些 傳奇遊戲盒子大全遊戲
- Electron 仿製WeGame遊戲盒子GAM遊戲
- 變態遊戲盒子無限元寶gm版遊戲 變態遊戲無限鑽石元寶遊戲盒子遊戲
- 變態遊戲盒子排名前十 十大變態bt手遊遊戲盒子排名遊戲
- bt手遊遊戲盒子排名 手遊盒子app平臺排行榜遊戲APP
- 變態版遊戲盒子大全排行榜 變態滿v遊戲盒子哪個好遊戲
- bt手遊盒子哪個好 2022最火遊戲盒子遊戲
- 變態盒子wibox最新版 大型變態遊戲盒子遊戲
- gm手遊盒子哪個好用 2022遊戲盒子排行榜遊戲
- 超級變態手遊盒子排名 送首充的變態遊戲盒子遊戲
- 檔案包含敏感詞?雲盒子企業雲盤:隔離!
- bt手遊盒子app軟體大全排行榜 bt遊戲盒子哪個最好APP遊戲
- 點燃數字引擎,天翼雲助力汽車行業雲上加速跑!行業
- 樂視盒子u4評測 配紅外遙控器 樂視盒子u4怎麼樣?
- 小米盒子mini版無法連線藍芽遙控器怎麼辦?小米小盒子和藍芽遙控器配對方法藍芽
- 暢遊無限遊戲盒子(二)--推箱子遊戲
- 小米盒子恢復出廠設定圖文教程
- 十大變態遊戲盒子排行榜 超級變態手遊盒子排名遊戲
- 變態遊戲盒子新人福利648 0元手遊變態版app平臺盒子遊戲APP
- bt遊戲折扣充值盒子 遊戲充值折扣平臺哪個好遊戲
- 群控和雲控的區別
- 燃盡圖
- 復工進行時:警惕重保期間的emotet病毒郵件
- 雲端計算裡的安全:警惕雲服務被惡意利用
- 遊戲廣告變現:休閒遊戲的廣告變現是怎麼回事?遊戲
- bt遊戲盒子前十排行榜名字 滿vip無限元寶手遊盒子遊戲