黑狐木马最新变种——“肥兔”详细分析
腾讯电脑管家 · 2015/07/14 12:14
0x00 背景
近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件,木马管家已经全面拦截和查杀。同时该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等有极大的相似性,可以确定是同一作者所为。而通过该木马多个样本的pdb路径,我们得知该木马项目名称为“肥兔”。
0x01 功能简介
“肥兔”木马会通过多种方式向下推广,日均推广量10W+,推广后会通过替换系统文件而长期驻留在系统中,对系统稳定性和用户的隐私安全造成极大的威胁,目前该木马主要是通过流氓推广和浏览器锁主页来实现盈利,如果你的浏览器主页被改成www.2345.com/?32420,那么很可能就中了“肥兔”木马。
“肥兔”木马功能示意图
“肥兔”木马模块分工示意图
0x02 木马作者背景分析
通过反查域名tianxinli.org
、3gfetion.com
得到注册信息如下:
域名:tianxinli.org
域名ID: D176563201-LROR
注册时间: 2015-06-15T06:27:28Z
更新时间: 2015-06-15T06:27:28Z
过期时间: 2016-06-15T06:27:28Z
域名所有者:yu ying
注册人邮件:[email protected]域名: 3GFETION.COM
域名ID: 1938775105_DOMAIN_COM-VRSN
注册时间: 2015-06-15T07:23:07Z
更新时间: 2015-06-15T07:23:07Z
域名所有者: yu ying
注册人邮件: [email protected]
复制代码
两个域名是同一天注册,而且是同一个人持有。可以基本判定,网站持有者为病毒发布者。再通过对注册邮箱的反查,可以看到这个组织持有很多域名,并且,故意使持有者姓名不同,来对抗社工。
将所有[email protected]
注册的邮箱的手机号整理后,发现只指向两个号码。进而,通过手机号可以查到该组织成员的一些信息:
陈* QQ:383****** 865***** Tel:15869****** 18067****** Email:[email protected] [email protected]**.com
刘* QQ:304****** 185****** Tel:15957****** 15869****** 15957******
复制代码
在QQ上发现工作邮箱,顺手去看了下他们公司官网。
公司域名是由张XX注册的,就查了下,结果:
可以看出,该公司是有过前科的,而且,刚好是做推广的,不得不怀疑下。
接下来,就不挖作者信息了,看看统计的后台,扫了下网站,发现源码泄漏。拿下源码看了看整站目录结构、命名并不那么规范。
tj.php是木马要访问的,跟进去发现,它每天都会对推广的数量进行统计。审计源码后,发现,其对要insert的数据没有做过滤处理。于是构造payload,用sqlmap跑起来。得到数据库表信息如下:
后台每天新建一张表来统计当天安装日志以及前一天的上线日志。
随意Dump了其中一张表,看到一个惊人的安装数量:
从后台数据可以看出,该木马从15年5月11日开始推广,平均日推广量10万以上,在2015年7月11日达到了64万之多。
0x03 详细技术分析
3.1 setup_3l.exe文件分析
样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线
复制代码
样本运行后下载了一张图片http://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路劲信息。
3.2 FeiTuDll.dll 文件分析
样本MD5:a5b262da59a352b1c4470169183e094b
FeiTuDll.dll运行后,收集以下信息:
- 通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息
- 检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程;
- 检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器;
- 本机MAC地址
- 本机操作系统版本
收集完成后将信息提交到http://count.tianxinli.org/player/tj.php
参数格式及说明如下:
op=install (操作)
ri= (当前进程名)
mc= (MAC地址)
vs=1.0.0.1 (木马版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)
os=(操作系统版本)
sc= (屏幕分辨率)
bar= (是否网吧 1:是 0:否)
tm= (当前时间戳)
key= (以上信息的MD5校验)
复制代码
接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。
随后木马会下载“大天使之剑”的安装包到本地,并执行安装。
安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。
3.3 tmp.exe 文件分析
根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
3.4 yrd.tmp (Sens.dll、Cscdll.dll)文件分析
捕捉到的其中几个广度较大的变种MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
复制代码
该文件的PDB信息如下:
该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程。
3.5 %WinDir%\svchost.exe文件分析
该文件pdb信息如下:
该文件同时被执行两次,根据互斥量来进行如下不同的分工:
1、先被执行的进程行为:
- 释放LKS19.tmp驱动文件并加载
- 创建名为sysPipa的管道接收命令
- 与驱动进行通信,将命令传递给驱动
2、后被执行的进程行为:
- 获取本机各种信息发送到http://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。
- 查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程
- 从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe http:[email protected]
- 关闭UAC
3.6 驱动文件LKS19.tmp分析
该驱动文件具有以下功能:
- 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定
- 根据命令修改锁定的主页地址
- 根据命令,结束指定的进程
- 根据命令,hook指定的SSDT表函数
3.7 SVCH0ST.exe文件分析:
该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利
推广的软件列表如下:
0x04 查杀方式
对于安装了电脑管家的用户,无需做任何处理,管家已经能够精准拦截该木马及其变种。
对于未安装管家而感染了该木马的用户,安装管家后使用闪电杀毒可完美清除该木马。
黑狐木马最新变种——“肥兔”详细分析相关推荐
- 电大考的是职称英语同计算机,最新电大统考计算机应用基础真题选择题详细分析小抄.doc...
您所在位置:网站首页 > 海量文档  > 计算机 > 计算机原理 最新电大统考计算机应用基础真题选择题详细分析小抄.d ...
- 【转载】撒旦(Satan 4.2)勒索病毒最新变种加解密分析
[转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述 近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...
- 【转载】Globelmposter勒索病毒最新变种预警
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666.Zeus666.Aphrodite666.Apollon666等,目前国内已有多家大型医院率先发现 ...
- 年中盘点:详细分析2019年上半年爆发的macOS恶意软件
概述 自从我们在去年12月对2018年的macOS恶意软件进行年终盘点以来,我们发现新型macOS恶意软件的爆发数量有所增加.一些旧恶意软件家族产生了新的变种,一些恶意软件使用了新的技巧,同时还产生了 ...
- 详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
聚焦源代码安全,网罗国内外最新资讯! 作者:Hans-Martin Münch 编译:代码卫士 2021年秋,MOGWAI LABS 实验室在为客户进行渗透测试过程中发现了开源组件 "Aj ...
- Phobos病毒家族最新变种.faust后缀勒索病毒活跃传播
目录 前言:简介 一.什么是.faust勒索病毒? 二..faust勒索病毒是如何传播感染的? 三.中了.faust后缀勒索病毒文件怎么恢复? 四.加密数据恢复案例 五.以下是预防faust勒索病毒安 ...
- AMCL源码架构讲解与详细分析
ROS进阶教程(三)AMCL源码分析 AMCL算法简介 AMCL包结构与通信 CmakeLists研究 体系结构与研究 节点文件函数讲解 订阅话题函数 scan_topic initial_pose ...
- 熊猫烧香_汇编级_超详细分析
1.样本概况1.1 应用程序信息1.2 分析环境及工具1.3 分析目标2.具体分析过程2.1 主函数2.2 分析sub_40819c 2.2.2 存在Desktop_.ini文件则删除2.2.3 读取 ...
- 对尼姆达蠕虫的详细分析 (转)
对尼姆达蠕虫的详细分析 (转)[@more@] 作者:tombkeeper 2001.9.18晚,我习惯性的打开了tcp/80,用这个简单的批处理程序: -------------cut here-- ...
最新文章
- Vupsen, Pupsen and 0 思维,凑系数
- 微博客之后有可能是“切客”
- 使用DLL进行不同语言之间的调用
- 【Android 修炼手册】常用技术篇 -- 聊聊 Android 的打包
- java面向对象课件_《JAVA面向对象基础》PPT课件.ppt
- Linux 的软件管理及配置 - 安装、卸载、升级、依赖
- netty应用场景_彻底搞懂 netty 线程模型
- MySQL 两个死锁样例
- 让别人查看云服务器的文件夹,让别人查看云服务器的文件夹
- 我们究竟什么时候可以使用Ehcache缓存(转)
- spark常见问题定位
- 双 JK 触发器 74LS112 逻辑功能。真值表_【数电笔记】时序逻辑电路设计举例
- webrt分析六(nack)
- 自媒体是什么?三大媒体平台详细介绍,不了解的赶紧看着吧!
- 嵌入式编程软件基础汇总1
- 网红释一刀考察潮汕特色美食土虾
- Elasticsearch之中文分词器插件es-ik的自定义热更新词库
- 【学习笔记】山东大学生物信息学-05 高通量测序技术介绍 + 06 统计基础与序列算法(原理)
- linux raid5模拟数据丢失,Linux服务器右异步RAID-5数据恢复实例分析
- c++课程设计日历记事本