漏洞概要

缺陷编号:
暂无

漏洞标题:
“灵隐”木马黑吃灰:绑架数十款游戏外挂实现恶意推广

提交时间:
2017-08-11

危害等级:

相关厂商:

漏洞分类:
安全文章

关注度:
共 21 人关注

漏洞详情

今年6月,360安全卫士对“灵隐”木马做了预警。最近一段时间,这伙木马又开始活跃,我们也接到不少网友反馈称受到木马干扰,浏览器被篡改,部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。

传播:

此类木马传播,仍然是通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。通过分析传播者的文件列表可以看到作者打包了几十款外挂用来传播这一木马:

作者打包了几十款外挂用来传播这一木马

作者打包了几十款外挂用来传播这一木马

有近400多个文件分享记录:

有近400多个文件分享记录:

有近400多个文件分享记录:

安装:

木马在安装过程中,会检测是否有360杀毒,360安全卫士等安全软件 运行,如果有则木马不进行安装。

 这也是木马需要通过外挂打包传播的一个原因,使用外挂时,用户可能会关闭杀毒软件,给木马可乘之机!

使用外挂时,用户可能会关闭杀毒软件

使用外挂时,用户可能会关闭杀毒软件

当关闭杀软之后,这个外挂开始下载木马到本地执行j[.]92dz.win:8080/bag/jc_102.zip

当关闭杀软之后,这个外挂开始下载木马到本地执行

当关闭杀软之后,这个外挂开始下载木马到本地执行

分析时捕获的下载木马:

分析时捕获的下载木马

分析时捕获的下载木马

木马释放一对DLL劫持程序

木马释放一对DLL劫持程序

木马释放一对DLL劫持程序

通过注册Installed Components实现开机自启动:

通过注册Installed Components实现开机自启动

通过注册Installed Components实现开机自启动

之后木马启动svchost.exe并挂起(如果安装有360会试图启动360DeskAna.exe并注入)

之后木马启动svchost.exe并挂起

之后木马启动svchost.exe并挂起

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

将恶意代码写入到svchost.exe内存中并恢复进程

危害:

1.  劫持浏览器,篡改浏览器快捷方式

木马会篡改数十款浏览器的快捷方式,添加导航。

添加导航

添加导航

向任务栏锁定快捷方式

向任务栏锁定快捷方式

向任务栏锁定快捷方式

2.删除系统中安装的某些软件。

木马会通过注册表查找ADSafe安装目录,如果发现则结束ADSafe.exe和ADSafeSvc.exe进程,并删除整个ADSafe安装目录(猜测是防止ADSafe影响其推广的导航收入)

木马会通过注册表查找ADSafe安装目录

木马会通过注册表查找ADSafe安装目录

Image

Image

3.进行软件推广

木马会常驻系统,并定时访问云控列表,将加密的列表下载到%Temp%\data.tmp文件中

木马会常驻系统,并定时访问云控列表

木马会常驻系统,并定时访问云控列表

解密后可以看到其推广列表:

推广列表

推广列表

其中,开头部分的页面为推广导航页,用于修改浏览器首页

开头部分的页面为推广导航页,用于修改浏览器首页

开头部分的页面为推广导航页,用于修改浏览器首页

后半部分内容为推广软件列表,可以进行云控推广。

4.进行木马更新并与防护软件对抗

木马在%windir%\font目录下保存了多个配置文件

HX_Protect.ttf

ZT_Exe.ttf

ZT_Dll.ttf

HX_EXE_Pid.ttf

 

其中,ZT_Exe.ttf和ZT_Dll.ttf分布记录被利用exe和木马dll的路径。

HX_EXE_Pid.ttf这个记录当前木马进程PID

HX_Protect.ttf这个记录当前已被修改的首页

HX_Protect.ttf这个记录当前已被修改的首页

HX_Protect.ttf这个记录当前已被修改的首页

木马内部还内置了一组木马更新地址:

木马内部还内置了一组木马更新地址

木马内部还内置了一组木马更新地址

目前更新地址传播的是一组迅雷thundershell.exe的DLL劫持程序,功能上和之前安装的木马完全一致。

功能上和之前安装的木马完全一致

功能上和之前安装的木马完全一致

同时,木马会循环查找两个窗口,若发现类名为“360ClassUploadFileNotify”的窗口,则会模拟鼠标点击其按钮。猜测是要退出该窗口。

同时,木马会循环查找两个窗口

同时,木马会循环查找两个窗口

而若发现类名为“TXGuiFoundation”的窗口,则将其隐藏

而若发现类名为“TXGuiFoundation”的窗口,则将其隐藏

而若发现类名为“TXGuiFoundation”的窗口,则将其隐藏

另外我们发现这款木马,也会通过进程列表判断网吧环境或系统中是否有影子系统。

另外我们发现这款木马,也会通过进程列表判断网吧环境或系统中是否有影子系统

另外我们发现这款木马,也会通过进程列表判断网吧环境或系统中是否有影子系统

如果在网吧系统中,一些劫持功能不会执行。

非网吧系统下,会释放mydll.dll并设置为隐藏

非网吧系统下,会释放mydll.dll并设置为隐藏

非网吧系统下,会释放mydll.dll并设置为隐藏

完成后,加载该dll

完成后,加载该dll

完成后,加载该dll

该dll主要做浏览器劫持,但由于木马调用时出错,导致该调用会崩溃

该dll主要做浏览器劫持,但由于木马调用时出错,导致该调用会崩溃

该dll主要做浏览器劫持,但由于木马调用时出错,导致该调用会崩溃。

追溯:

这个木马从4月30号出现以来经历了几次大规模传播,下面是我们统计到的木马的传播趋势。

传播趋势

传播趋势

通过对其CC域名的注册信息查询

通过对其CC域名的注册信息查询

通过对其CC域名的注册信息查询

可以看到域名是:

烟台润秋网络科技有限公司 主体注册的

同一个邮箱还注册了域名hongrensoft.cn 但访问量一直不高

而通过这家公司( 烟台润秋网络科技有限公司)官方主页发现了一个联系QQ,我们在传播木马的网盘下边也发现了同样的联系方式。

http://www.runqiusoft.com/

联系方式

联系方式

联系方式

联系方式

因为域名注册信息,网站信息并不一定真实,但木马的控制和传播方的信息一致,由此我们猜测,456网盘维护者和“灵隐”木马的维护者应该是同一伙人。

 另外,我们发现的传播源还包括789网盘(789xz.com),从注册用户名看,是同一个维护者。

是同一个维护者

是同一个维护者

360安全中心再次提醒广大网友,使用外挂时也应开启杀毒软件,如果杀软已经识别为木马的外挂,切不可再去尝试!

已经是病毒

已经是病毒

*本文作者:360安全卫士,转载请注明来自 FreeBuf.COM 

发表评论

电子邮件地址不会被公开。 必填项已用*标注