近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。
带木马的荒野求生辅助以免费形式发布在布衣论坛中
图1
带木马的荒野求生辅助运行后界面如下
图2
该荒野求生辅助被用户下载运行后会释放运行两个木马文件:“过CRC检测.exe”和“防封插件.exe”。其中“防封插件.exe”,是一个远控木马,可以窃取用户电脑中的信息,下载执行任意文件。另外一个“过CRC检测.exe”,是一个DDOS木马,根据黑客指令进行定向攻击。
图3
防封插件.exe是一个加密木马的载体,该文件运行时会解密出具有远控功能的dll文件,并在内存中加载执行。
木马作者加密木马程序后,把加密数据作为全局变量存储在防封插件.exe程序的全局数据区。
图4
解密木马的功能位于防封插件.exe程序的异常处理里。由程序主动抛出整型异常,进入相应的异常处理函数,解出木马。
图5
解密后的木马是一个dll文件。
图6
防封插件.exe通过PELoader的方法,在内存中映射解密后的dll文件,并调用Dllmain执行。
图7
然后计算导出函数ForShare82的位置,调用导出函数。至此,木马本体已经完整加载到内存并运行。
图8
Dll木马具有远控功能,控制服务器地址:27.126.188.68,端口:522。该程序包含键盘记录、下发文件、注册表控制、服务控制等功能。
图9
键盘记录功能:判断键盘输入的内容,然后格式化键盘信息,过滤特殊按键(SHITF、CTRL等),最后重组成完整的输入信息,写入文件。
图 10
截屏功能:获取分辨率信息,然后进行截屏操作。
图11
其他控制功能:
图12
过CRC检测.exe程序根据注册表项SYSTEM\CurrentControlSet\Services\.Net CLR是否存在,判断程序是否第一次运行,首次运行会执行不同流程。
图13
将自身以随机文件名拷贝到windows目录下
图14
将拷贝后的文件注册为自动启动的服务,服务名.Net CLR。
图15
修改服务描述信息为:Microsoft .NET COM+ Integration with SOAP以进一步迷惑用户。
图16
写注册表项SYSTEM\CurrentControlSet\Services\.Net CLR。
图17
删除原始木马文件。
图18
由于首次运行时注册了服务,所以样本作为服务二次启动的时候就会进入另一个流程。
图19
图20
hra33.dll被加载之后,DllMain中立即运行恶意行为,遍历用户磁盘文件,每当发现一个exe文件时,便将自身拷贝到exe文件目录下,并将自身重命名为lpk.dll。
图21
图22
局域网传播中用到的部分用户名和弱口令
图23
图24
远控线程1的连接,实测是无效连接。
图25
远控线程2的远程连接c&c 地址(z*******g.bid)端口是20199
图26
远控线程3的连接,服务器地址是加密的,解密后是27.126.188.68:520
图27
下载执行任意文件
图28
DDOS攻击
图29
使用远程命令行参数启动IE
图30
更新木马文件
图31
卸载自身
图32
通过对恶意样本的分析,找到了域名z*******g.bid,通过域名反查定位到域名相关的注册邮箱和联系电话。
图33
通过邮箱和手机定位到相关信息如下
图34
如果发现来历不明的文件,通过安全软件(如360安全卫士)进行查杀,请广大用户在使用安装包及时扫描查杀,避免使用未知来源的可疑软件。
本文作者:360核心安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/70911.html
必填 您当前尚未登录。 登录? 注册
必填(保密)作为一名吃鸡大王,我吓得看了一下自己的辅助名称。
居然是商务中国的域名。。丢人[em_38]