前言
近期,360核心安全團隊接到用戶舉報多款流氓軟件,包括屏幕亮度調節器、超級老闆鍵等軟件採取同一手法植入惡意代碼並通過各大下載站傳播,在用戶電腦上偷偷執行遠程代碼,嚴重影響用戶的信息安全。
以下是該系列軟件在下載站上的發佈列表,最早可追溯到2013年,涉及各類輔助軟件。
圖1
下面我們以“屏幕亮度調節器”這款軟件為例,分析該系列軟件的運作流程。
圖2
樣本分析
運行軟件“屏幕亮度調節.exe”,表面上顯示正常功能界面。而實際上,作者毫不掩飾,直接在窗口創建時展開行為。
圖3
首先加載惡意模塊“ScreenFlash.dll”,並調用其導出函數“StartScreenFlashWork”來設置全局消息鉤子。這一操作會使得“ScreenFlash.dll”被系統注入到每一個窗口進程中,而該模塊則會在初始化加載的時候直接運行Shellcode,從而增加Shellcode的運行機會。除此之外,軟件本身也創建了惡意線程來運行相同的Shellcode。
圖4
Shellcode分多段運行,ShellcCode1的主要功能是檢測加密的ShellCode2是否已經存在,不存在則會聯網獲取加密的ShellCode2執行。首先通過TEB獲取kernel32.dll的模塊基址,進而解析kernel32的導出表獲取GetProcAddress的地址,然後批量獲取自身所需的其他API地址。
圖5
接著打開註冊表項“SOFTWARE\ScreenBright”,並查詢鍵值HeadData。該註冊表項是用來判斷是否已經下載了ShellCode2,若是查詢失敗,則意味著還未下載,樣本將進入下載流程;反之,則進入讀取文件、解密執行的流程,如下圖所示:
圖6
聯網下載的ShellCode都是採用同一套模式,先訪問加密配置後獲得資源下載地址和解密key,再下載資源進行解密執行,如本例軟件下載ShellCode2是先訪問“http://www.baidu-home.com/screen/checkupdate.txt”後解密得到資源下載地址“http://www.2k2u.com/screen/screenjump.dat”和解密key“0x004271e4”,繼而下載該資源並通過密鑰解密出下一段ShellCode執行。
圖7
ShellCode2的功能其實和ShellCode1差不多,主要是負責再次更新下載新的ShellCode3來執行。ShellCode3則由一段LoadPE代碼和一個頭部信息被摧毀的惡意dll模塊組成,其功能主要是加載該模塊運行。
準備完所需API後,ShellCode3首先申請一段內存來拷貝惡意dll模塊,從下圖可見其PE頭部信息被大量抹除,只保留導入表、重定位表等必要的定位信息,但是數據目錄原導出表位置存放了OEP以及OEP所指向的4字節內容(用於校驗)。
圖8
LoadPE代碼根據導入表重構IAT表、修復重定位,再簡單校驗OEP處4字節代碼之後就開始從OEP執行惡意dll模塊代碼了。
程序首次運行會寫註冊表項SOFTWARE\\Classes\\CLSID\\{2B53F0A7-3238-4b4d-8582-E53618739C90}\LockData,此時並不展開行為。
當程序再次運行並且發現LockData中的日期和當前日期不同時,便展開行為。
過程中還有一些進行環境檢測,檢測虛擬機、常用分析工具
圖9
檢測環境通過之後首先獲取當前瀏覽器進程名稱,並根據不同的瀏覽器展開相應的改主頁操作,支持瀏覽器包括360安全瀏覽器、360極速瀏覽器、qq瀏覽器、搜狗瀏覽器等主流瀏覽器。
圖10
感染分佈
以下是此類軟件在全國各地區的傳播佔比統計,可以看出軟件主要分佈在沿海各省份,其中廣東為重災區。
圖11
查殺與總結
這一系列軟件主要是通過在常用軟件工具中安插惡意代碼的方式進行偽裝,雖然目前只是在用戶電腦中通過誘導或強制的方式來修改瀏覽器首頁,但是軟件作者可以隨時替換服務器上的shellcode來達到控制用戶電腦的目的,其風險性不言而喻。
目前360已針對此類樣本全面查殺,為用戶電腦保駕護航,同時也提醒廣大用戶安裝軟件時使用正規的下載渠道,避免上當受騙。
圖12
(from FreeBuf.com 更多資訊盡在www.360.cn)
閱讀更多 360安全衛士 的文章
