近日,360安全中心監測到有不法分子通過添加QQ好友的形式,以溝通商品交易的名義發送名為“這幾天團隊的量”的文件,一旦接收並打開文件,電腦將被遠程控制,不法分子可進一步盜取隱私及財物、甚至植入病毒實現敲詐勒索等操作。
360安全中心對該樣本進行分析發現,“這幾天團隊的量.rar”是一個將木馬打包在其中的壓縮包文件,投遞目標主要是網絡批發商。牧馬人通過將木馬偽裝成數量詳情圖片文件,在與商家溝通的期間,發送木馬文件給商家,引誘商家中招。
當網店批發商在接受到文件後,解壓出文件夾並點擊了文件夾中的“寶貝批發數量.com”後,木馬就會在後臺偷偷跑起來。
該文件其實為白文件,它帶有艾威梯科技(北京)有限公司數字簽名。
程序在執行起來後會讀取同目錄下的setup.ini文件,根據配置文件中Install項裡的CmdLine執行命令。而文件常規打開是一堆亂碼,在十六進制試圖下可以清楚看到Cmdline命令。
Cmdline命令如下:
WoodTorch.exe
被寶貝批發數量.com加載起來的WoodTorch.exe,實質上是命令行工具Nircmd。而上述的命令語句則是通過execmd這個執行命令指示符,在不顯示任何信息至屏幕的情況下執行下面的語句:系統的cmd程序,它的作用是用於加載WPS.JPG這個批處理文件。
WPS.JPG
從文件名上來看它是一個圖片,但內容為批處理腳本。內容如下:
行為分析:
打開Data目錄下的2018.jpg圖片
創建目錄 c:\microsoft目錄
拷貝Data\360666目錄下的Readme.txt、date、360666.PNG、QQAPP.exe到c:\microsoft目錄中
合併Data\360666目錄下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk為c:\microsoft目錄下common.dll
執行C:\Microsoft\QQApp.exe
執行c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection c:\microsoft\360666.png,DefaultInstall
步驟1的目的是為了讓批發商覺得自己真的是打開了一張圖片
步驟2-5為白加黑木馬部分
QQAPP.exe是帶有騰訊簽名的白文件,由於QQAPP.exe在調用Common.dll時,沒有對Common.dll進行校驗。牧馬人通過將惡意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三個文件,在程序執行過程中合併成common.dll。當QQAPP.exe執行的時候,惡意的common.dll就會被自動加載,從而執行惡意代碼。
步驟6的目的是通過360666.png中的配置信息讓QQAPP.exe能夠在重啟後自啟動,達到木馬駐留受害者電腦的目的。
common.dll
InitBugReport :
a. 通過訪問www[.]baidu[.]com測試網絡連通性,如果訪問失敗則ExitProcess。
b. 導出函數為空,偽造源文件導出函數SetBugReportUin、ValidateBugReport。
c. 解密Readme.txt,解密後的Readme_dump文件為PeLoad。它負責讀取解密同目錄下的date文件,並創建新的線程執行解密後的date。
Readme_dump(解密後的Readme.txt)
a. 干擾函數
b. 解密date文件。
c. 讀取解密同目錄下的date文件,並創建新的線程執行解密後的date。
木馬主體(解密後的date)
a. 判斷C:\ProgramData\Microsoft\Windows\Start Menu\Torchwood.lnk文件是否存在,存在則刪除文件。
b. 通過加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。
c. 網絡通訊
d. 鍵盤記錄,通過異或0x62加密後保存到C:\Windows\system32\ForShare.key。
e. 清除事件日誌
f. 遍歷進程,檢測殺軟
g.設置guest 密碼,並添加到管理員組。
h. 其餘功能主要還有文件管理、註冊表管理、進程管理、shell操作、下載文件、更新客戶端、卸載客戶端等
追溯
根據CC地址duanjiuhao.top的域名信息獲取到了域名持有者的姓名、郵箱、手機號。
年關將近,不法分子試圖利用這些“白加黑”遠控木馬從中招用戶那“謀財”。目前,360安全衛士已經對該類木馬進行防禦及查殺,在此也提醒網民,提防來歷不明的文件、鏈接,同時開啟安全軟件,臨近新年,為自己的隱私及財產安全加上一把鎖。
閱讀更多 財經最熱點 的文章