您当前的位置:网站首页>木瓜奇迹,肝区隐痛-无论遇到什么,也依然要快乐,生活态度

木瓜奇迹,肝区隐痛-无论遇到什么,也依然要快乐,生活态度

2019-05-13 07:17:43 投稿作者:admin 围观人数:151 评论人数:0次

近期,360安全大脑监测到一个名为“钱蜜省钱帮手”的流氓软件会在用户后台下发一款集流量绑架少妇白,盗号,暗刷,QQ引流等多种功用于一体的病毒,并已逐渐扩张成僵尸网络。经过360安全大脑对该僵尸网络的相关样本剖析stepsister,咱们发现其早在2016年七月份就现已开端传达,且一向坚持着相对活泼彩石谷的态势,依据其进犯特色,咱们将该僵尸网络命名为“黑雾”。

“黑雾”僵尸网络的感染流程反常杂乱,为便于整理各个病毒模块之间的联系,咱们将其感染进犯进程分为如下三个阶段:

经过流氓软件下发 绑架浏览器篡改主页

首要,“黑雾”僵尸网络会经过“钱蜜省钱帮手”下发,该流氓软件的官方下载界面如下:

木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度

从官网下载的装置包带着“ShanghaiQi Lu Network Technology Co., Ltd.”数字签名:

香草绘

软件装置完成后,会将QmSaveMoneySvc.exe注册为体系服务,QmSaveMoneySvc会以“/from=qm_azb”为参数发动“钱蜜省钱帮手”的主程序qm.exe,相关代码如下:

该主程序qm.exe带着恶意代码,当用上文说到的命令行发动时,病毒逻辑会被调用,curious相关代码逻辑,如下图所示:

首要从http[:]//down.qm188.com/updatecfg2.ini下载云控装备,依据装备flag5中的index值,下载明日气候不同的病毒模块:

下载的病毒模木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度块均经过7z格局紧缩后二次加密传输,下载后经过下面的逻辑进行解密,解紧缩,最终加载病毒模块demo.dll,病毒模块导出函数均为plugin_lock。加载模块逻辑如下:

d谶emo.dll会经过http[:]//down.qm188.com/check.7z下载lock.dll,解密逻辑与上面相王诗龄当杨颖花童同。Lock.dll供给了166个导出函数,包括浏览器书签篡改,主页确定,增加插件等功用。demo.dll调用这些导出函数对用户装置的浏览器进行绑架,部分代码逻辑如下图所示(限于文章篇幅,只截取确定主页部分):

进阶感染加大力度 QQ引流Steam盗号左右开弓

除了第一阶段中的绑架逻辑外,demo.dll还会下载MyThirdDemo.exe到%色人党Appdata%Roaming目录下进行履行,开端妖界大文豪第二阶段的感染:

MyThirdDemo.exe会开释TestDemo.exe并将其注册为体系服务,完成病毒的驻留。TestDemo.exe也是个下载者木马,依据http[:]//down.qm188.com/demo/test.ini回来的装备信息下载对应的病毒模块,在剖析时下载的是ServiceDemo.exe模块。ServiceDemo.exe获取testconfig.ini装备文件,下载并履行其间的推行软件和病毒模块。testconfig.ini内容如下:

其间kplnk4标签中的todayhot.exe与MyThirdDemo.exe逻辑类似,而kplnk6标签对应的666.exe则会开释出6667.exe和x7777.exe。6667.exe用来引导开端第三阶段的病毒感染流程,x7777.exe则会开释出QQ引流和盗取steam帐号的病毒模块并履行。

如图所示,111.exe会盗取用户的steam帐号密码和ssfn授权文件,运用w胎动是什么感觉ireshark进行抓包,上传相关隐私数据到C&C服务器。

上传Steam帐号密码

上传ssfn授权文件

绑架流魁量暗刷视频 把戏作妖不停歇

6667.exe 下载履行djwh01.exe敞开第三阶段的感染,djwh01.exe下载ovb.zip并校验其校验和,然后将后续的病毒模块解压到内存中。运用抓包东西监控病毒下载ovb.zip及其校验和:

djwh01.exe将ovb.zip中的病毒模块解压到同享内存中,依据run.xml中的装备信息,发动主控进程main.exe。主控进程会开释loader.dll,并经过DLL注入的方法将loader.dll注入到explorer.exe进程中,履行后加载<plug>下面的病毒插件。ovb.zip紧缩文件及run.xml的内容如下:

ovb.zip中包括的插件数量有限,咱们在loader.dll中检测到,“黑雾”的拓展性极强,还能够支撑下列病毒插件的加载:

经过360安全大脑,咱们找到了一批“黑雾”病毒插件,下面是部分插件的pdb途径:

Hijack.dll会加载一个带着“Shenzhen zhong dong TechnologyCo., Ltd”数字签名的网络过滤驱动,合作应用层完成流量绑架,驱动文件特点,如下图所示:

加载绑架战略相关的装备文件,经过URL,KEY,制止来历以及自定义的方法进行流量的绑架,相关装备文件及其规矩含义如下:

Hijack.dll中的部分病毒逻辑如下:

因为绑架战略相关的下载服务器已被封闭,在剖析进程中绑架规矩并未收效。可是经过下图,咱们能够看出病毒已收效,https根证书现已被绑架:

devdata.dll是暗刷主控模块,其调试信息中能看到病毒作者将此项目命名为 “全事务渠道2017刷量客户端”,其pdb信息如下:

从http[:]//zip.953nu.cn:8080/zip/%d/%c/%c/%s.zip下载刷量相关的装备进行暗刷,咱们截获到的数据均以刷搜狐视频流量为主,相关装备文件如下:

其间部分专辑的播放量已达到4亿屡次:

不过广阔用户不用忧虑,结合“黑雾”僵尸网络的进犯感染态势,360安全大脑已完成针对“黑雾”的olay全面查杀。

此外,为防止“黑雾”僵尸网络进一步感染分散,360安全大脑主张广阔用户做好以下防护办法,维护个人隐私及产业安全:

1木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度、主张前往weishi.360.cn,下载装置360安全卫士,并坚持敞开;

2、关于安全软件提示风险的程序,切勿容易增加信赖或退出杀软运转;

3、发现电脑反常时,及时运用360安全卫士进行体检扫描,查杀病毒木马;

4、敞开360安全卫士“网页安全防护”功用,区分各类虚伪欺诈网页,阻拦垂钓网站、风险链接,保证计算机信息安全。

IoCs

C2:

https[:]//w变形计20140616ww.qm188.com木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度/download

http[:]//down.qm188.com/updatecfg率2.ini

http[:]//d木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度own.qm188.com/updateall.7z

http[:]//down.qm188.com/updatenopage.7z

http[:]//down.qm188.com/updatekz.7z

http[:]//down.qm188.com/updatefav.7z

http[:]//down.qm188.com/check.7z

http[:]//down.qm188.co老鼠图片m/demo/test.ini

http[:]//down.qm188.com/demo/testconfig.ini

http[:]//192.1恐龙动画片26.117.85:8010/666/666.exe

http[:]//192.126.117.85:8098/777/djwh01.exe

http[:]//192.126.117.85:8099/7木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度7践踏之7/Config.txt

http[:]//222.186.169.84:9521/zip/ovb.zip.crc

http[:]//222.186.169.84:9521/zi木瓜奇观,肝区隐痛-不管遇到什么,也仍然要高兴,生活态度p/ovb.zip

MD5:

3be0a26fd48cdd4d66842b84f2fc6a2d

f4626986a30519adad1350e2708f7a38

f85fc40d33618287d1723fbcb0802e29

_rT70

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
the end
无论遇到什么,也依然要快乐,生活态度