迅雷防踢补丁：一个刷流量木马的简单分析

1、背景

近期，腾讯反病毒实验室拦截到了大量通过替换迅雷根目录下库文件zlib1.dll来进行后台恶意刷流量的木马，经过回溯分析，发现其主要通过伪装成迅雷破解补丁、防踢补丁、无限刷会员等补丁文件的方式进行传播，感染量巨大。该木马的主要功能是后台定向的流量推广、刷网页pv、刷百度联想词等操作，目前管家已经全面拦截和查杀。

2、样本简介

木马文件zlib1.dll是在开源代码zlib源码基础上插入恶意代码后重新编译生成的。它作为母体，通过劫持迅雷，每次随迅雷启动负责收集本地计算机信息加密后提交给服务器，同时解密运行服务器返回的js脚本。js脚本运行后会下载得到样本2（bdrwei_xxxx.dll,xxxx为mac值），该样本主要在后台实现刷网页pv、刷搜索引擎关键词排名、刷搜索引擎联想词等操作。此外，还发现该木马可根据C&C服务器返回的不同指令进行命令分发，实现远程控制功能。

图1. 木马功能大致流程图

3、详细分析

3.1 zlib1.dll行为：

该木马由开源代码zlib修改而来，在程序的入口点创建线程运行木马行为，随后判断进程名是否为迅雷（thunder），如果是则对迅雷进行补丁，实现防踢（未验证），木马dll的dllmain函数代码如下。

图2. 木马dll文件入口函数代码（dllmain）

木马功能代码执行后，首先收集父进程路径、父进程名、运行时间、mac地址、dll所在路径等信息。将其拼接后再加密，随后通过get方式发送到服务器。信息提交的页面地址为：http://u.pp02.com:8000/tongji.asp。　

图3. 木马收集信息加密后发送到服务器

服务端在收到统计信息后，会返回一段加密后的数据，数据解密后得到如图4所示javascript脚本，并使用控件直接在程序内执行该脚本。脚本的功能是下载http://tan.pp02.com/view/referdb.jpg文件到本地保存为bdrwei_xxxx.dll（xxxx为本机MAC地址）。而后使用rundll32.exe加载运行。

图4. 解密后得到的javascript文件部分内容

3.2 bdrwei_xxxx.dll行为：

校验参数后构造参数继续创建多个rundll32.exe进程加载自身，开始刷流量。

图5. 构造参数准备创建新的rundll32.exe进程加载自身

图6. 创建新的rundll32.exe加载自身，会创建多个

每个rundll32.exe进程启动后都会判断启动参数，根据不同的参数进行以下刷流量行为：

3.2.1 刷PV：

访问"http://lv.pp02.com/tj/config.aspx?rnd=xxx，提交不同的random值返回得到含有不同URL的json数据，解析json数据，构造好相应的参数访问URL。

访问http://lv.pp02.com/tj/config_line.aspx?rnd=xxx&host_id=55&delay=0，提交不同的host_id返回得到含有不同URL的json数据。解析json格式，提取URL，并且访问此URL。（注：以上xxx表示Math.random()返回的随机数）

例如得到json格式如下：

{"code":0,"host\_id":68,"script":"http:\/\/lv.pp02.com\/view\/viewbaidu.asp","max\_speed":"150","url\_list":["http:\/\/www.baidu.com\/?tn=SE\_hldp06112\_3xy3k552"],"delay":[0,100,191],"width":-1,"height":-1,"user-agent":"","referer":"http:\/\/www.qyu.cn\/"}

抓取到的数据包如下：

图7. 刷PV行为抓包

3.2.2 刷搜索引擎关键词：

通过访问：http://lv.pp02.com/view/viewqline.asp?click_rate=&t=1，得到另一段用于推广的javascript。而后运行该脚本。实际分析过程中发现其返回的javascript脚本如图8所示，实际作用是访问http://tj.pp02.com/view/loop_read.aspx?s=xxx。随机获取到需要推广的关键词。而后模拟点击。

图8. 返回的刷关键词脚本内容

3.2.3 刷搜索联想词：

访问http://lv.pp02.com/view/loop_read.aspx?s=xxx，会随机返回不同关键字，而后程序将返回值作为参数发送到http://suggestion.baidu.com/su?来搜索联想词。

3.2.4 远程控制功能：

除了以上刷流量功能外，在分析时我们还发现了该木马的远程控制功能，不过近半的远程控制命令尚未有相应的处理代码，可见该木马还在不断开发和完善新的功能。

图9. 木马的远程控制命令列表

4、危害及查杀

经过以上分析，我们可以发现该木马的主要功能还是通过后台刷流量来实现获利，由于该木马没有专门的启动项，而是随着迅雷启动，使用户难以发现异常。但是频繁地刷流量会占用皮肤测试仪用户大量的带宽，导致用户网速变慢。如发现近期下载速度变慢、在线看视频玩游戏变卡，很可能中了该木马，可下载电脑管家进行全盘扫描。管家提醒：不要从非官方渠道下载所谓的“补丁”文件来替换正常软件的相关的文件，因为这样不仅会影响相关软件的稳定运行，还容易感染病毒木马危害计算机安全。

迅雷防踢补丁：一个刷流量木马的简单分析相关推荐

[转] 一个U盘病毒简单分析
(转自:一个U盘病毒简单分析 - 瑞星网原文日期:2014.03.25) U盘这个移动存储设备由于体积小.容量大.便于携带等优点,给人们的存储数据带来了很大的便利.但正是由于这种便利,也给病毒有 ...
关于一款远控木马的简单分析
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计 ...
迅雷本地VIP6补丁，可开高速通道和离线下载，有图有真相！
自从迅雷官方把淘宝那些便宜的用手机号码开通的迅雷会员封掉以后,我的心如刀割,好不容易从大一坚持到大三,都已经是VIP4了呀,原来两块钱就能买半年的迅雷会员,而现在一个月最少也要6快钱,蛋疼!看着VIP ...
Java用Filter制作登录限制-踢下线防踢等
Hello, 我是Shendi, 这次我给大家带来了 JavaWeb登录限制登录防踢挤下线的功能实现如题,很简单,我们需要编写一个Filter,就叫LoginFilter 实现javax包 ...
自制PC微信防撤回补丁教程
转自:源1 前两天看 GitHub 发现一个有趣的项目,PC微信防撤回补丁,本着研究学习的目的,在看过源码,一顿疯狂操作之后,了解了其原理是基于修改 wechatwin.dll 达到防撤回的. 于是乎 ...
python编写木马攻击_用Python写一个自动木马程序
电脑作为大家日常办公的工具,最怕的一件事情之一就是被偷,当我们的电脑被盗的时候,不仅仅是电脑本身,更重要的是电脑存储的资料都会丢失.如何尽快的找回电脑需要我们想点办法,今天就教大家一个好的技巧,虽说不 ...
在Visual C++中实现一个DLL木马
在Visual C++中实现一个DLL木马写一个木马挂载程序,听起来似乎很玄,其实也很简单,本文将告诉你怎样用Visual C++实现一个侵入木马的程序.本文主要涉及动态链接库(DLL)木马,目前相 ...
一个钓鱼木马的分析（二）
发表于本人专栏: 一个钓鱼木马的分析(二) 这个木马隐蔽性很强,内存中不存在任何明文字符串,很难用内存搜索去搜索一些明显字符串,内存的数据都是加密存在需要时才解密,然后立即释放,不会长期驻留在内存 ...
【安全硬件】Chap.3 如何插入一个硬件木马到芯片的组合逻辑电路的漏洞里？不影响正常电路的功能的情况下进行硬件的逻辑加密
[安全硬件]Chap.3 如何插入一个硬件木马到芯片的组合逻辑电路的漏洞里?如何进行硬件的逻辑加密在不影响正常电路的功能的情况下 1. 组合逻辑电路的漏洞组合逻辑电路中的硬件木马-举例 Fault ...
病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...

迅雷防踢补丁：一个刷流量木马的简单分析

迅雷防踢补丁：一个刷流量木马的简单分析相关推荐

最新文章

热门文章