黑狐木马最新变种——“肥兔”详细分析 - 腾讯电脑管家

0×00 背景

近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件,木马管家已经全面拦截和查杀。同时该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等有极大的相似性,可以确定是同一作者所为。而通过该木马多个样本的pdb路径,我们得知该木马项目名称为“肥兔”。

0×01 功能简介

“肥兔”木马会通过多种方式向下推广,日均推广量10W+,推广后会通过替换系统文件而长期驻留在系统中,对系统稳定性和用户的隐私安全造成极大的威胁,目前该木马主要是通过流氓推广和浏览器锁主页来实现盈利,如果你的浏览器主页被改成www.2345.com/?32420,那么很可能就中了“肥兔”木马。

“肥兔”木马功能示意图

“肥兔”木马模块分工示意图

0×02 木马作者背景分析

通过反查域名tianxinli.org、3gfetion.com得到注册信息如下:

域名:tianxinli.org  域名ID: D176563201-LROR注册时间: 2015-06-15T06:27:28Z更新时间: 2015-06-15T06:27:28Z过期时间: 2016-06-15T06:27:28Z域名所有者:yu ying注册人邮件:[email protected]域名: 3GFETION.COM域名ID: 1938775105_DOMAIN_COM-VRSN注册时间: 2015-06-15T07:23:07Z更新时间: 2015-06-15T07:23:07Z域名所有者: yu ying注册人邮件:[email protected]

两个域名是同一天注册,而且是同一个人持有。可以基本判定,网站持有者为病毒发布者。再通过对注册邮箱的反查,可以看到这个组织持有很多域名,并且,故意使持有者姓名不同,来对抗社工。

将所有[email protected]注册的邮箱的手机号整理后,发现只指向两个号码。进而,通过手机号可以查到该组织成员的一些信息:

陈*  QQ:383******  865*****    Tel:15869******  18067******    Email:[email protected][email protected]**.com刘*  QQ:304******  185******  Tel:15957******  15869******    15957******

在QQ上发现工作邮箱,顺手去看了下他们公司官网。

公司域名是由张XX注册的,就查了下,结果:

可以看出,该公司是有过前科的,而且,刚好是做推广的,不得不怀疑下。

接下来,就不挖作者信息了,看看统计的后台,扫了下网站,发现源码泄漏。拿下源码看了看整站目录结构、命名并不那么规范。

tj.php是木马要访问的,跟进去发现,它每天都会对推广的数量进行统计。审计源码后,发现,其对要insert的数据没有做过滤处理。于是构造payload,用sqlmap跑起来。得到数据库表信息如下:

后台每天新建一张表来统计当天安装日志以及前一天的上线日志。

随意Dump了其中一张表,看到一个惊人的安装数量:

从后台数据可以看出,该木马从15年5月11日开始推广,平均日推广量10万以上,在2015年7月11日达到了64万之多。

0×03 详细技术分析

3.1 setup_3l.exe文件分析

样本MD5:fc4631e59cf1cf3a726e74f062e25c2e  描述:37最新游戏在线

样本运行后下载了一张图片http://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路劲信息。

3.2 FeiTuDll.dll 文件分析

样本MD5:a5b262da59a352b1c4470169183e094bFeiTuDll.dll运行后,收集以下信息:

通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息

检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程;

检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器;

本机MAC地址

本机操作系统版本

收集完成后将信息提交到http://count.tianxinli.org/player/tj.php

参数格式及说明如下:

op=install (操作)

ri= (当前进程名)

mc= (MAC地址)

vs=1.0.0.1 (木马版本)

dq= (int.dpool.sina.com.cn返回的IP等信息)

sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)

os=(操作系统版本)

sc= (屏幕分辨率)

bar= (是否网吧 1:是 0:否)

tm= (当前时间戳)

key= (以上信息的MD5校验)

接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。

随后木马会下载“大天使之剑”的安装包到本地,并执行安装。

安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。

3.3 tmp.exe 文件分析

根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。

3.4 yrd.tmp (Sens.dll、Cscdll.dll)文件分析

捕捉到的其中几个广度较大的变种MD5如下:

f749521e9e380ecefec833d440400827

8ccf78082effa9cd3eaffbeb2a04039f

4bf8a7fd3a91e47d816cab694834be65

a18d30fef0a73cce4131faf2726adfdb

8c10cc9cde85457b081ecf7cba997019

该文件的PDB信息如下:

该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程。

3.5 %WinDir%\svchost.exe文件分析

该文件pdb信息如下:

该文件同时被执行两次,根据互斥量来进行如下不同的分工:

1、先被执行的进程行为:

释放LKS19.tmp驱动文件并加载

创建名为sysPipa的管道接收命令

与驱动进行通信,将命令传递给驱动

2、后被执行的进程行为:

获取本机各种信息发送到http://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。

查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程

从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe http:[email protected]

关闭UAC

3.6 驱动文件LKS19.tmp分析

该驱动文件具有以下功能:

注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定

根据命令修改锁定的主页地址

根据命令,结束指定的进程

根据命令,hook指定的SSDT表函数

3.7 SVCH0ST.exe文件分析:

该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利

推广的软件列表如下:

0×04 查杀方式

对于安装了电脑管家的用户,无需做任何处理,管家已经能够精准拦截该木马及其变种。

对于未安装管家而感染了该木马的用户,安装管家后使用闪电杀毒可完美清除该木马

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,179评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,229评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,032评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,533评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,531评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,539评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,916评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,813评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,568评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,654评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,354评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,937评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,918评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,152评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,852评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,378评论 2 342

推荐阅读更多精彩内容