下载器又惹祸:“独狼”病毒再度寄生传播
1、概述近期毒霸安全团队再次监控到一起病毒传播活动,监控数据显示本次的病毒传播源头为“多特下载器”,分析后我们确认该下载器静默推送的”多点检测”暗藏的后门,被用来推广病毒和流氓软件。其代码结构逻辑和我们之前报道过的“群魔乱舞:五大国产病毒家族的末日收割”一文中的“速搜”高度相似,可以确认为同一团伙所为。本次传播主要行为是通过三次云控机制推送独狼(幽虫)和QQ蠕虫病毒,以及推广流氓软件,劫持用户主页流量牟利。本次传播被迅速捕获,目前还处于铺量阶段,但是通过其内部访问的统计页显示日感染量已接近1万,感染病毒重灾区分布在山东,江苏,河南,还有上升趋势。http://img.bbs.duba.net/forum/201910/28/174230nwy64g9ibnt6gmin.png
其整个传播执行流程如下:http://img.bbs.duba.net/forum/201910/28/174240c249ofe2yk1x9g1x.png
2、技术分析
2.1下载器的那些事 本次病毒传播通过监测发现来自多特下载站的下载器,此类下载器属于“三无产品”:无签名、无版本、无厂商信息,但都有云端配置,每次启动后会获取云端配置,根据配置规则展示用户环境可推广的软件。这些配置可随时更新,即使被发现传播病毒只要更改云端配置也就无法追查,隐蔽性极强违法成本也极低。
站点在推广软件时并不会去审核被推广软件是否安全,其界面标榜的杀毒检测通过都是虚假的。配置中为每个推广软件定制了一套私有规则,“filter_process”字段决定了需要规避的进程名,“silent”字段为静默安装的命令,如果本身为静默包则为空,以本文中的“多点检测”为例其安装配置过滤360进程和网吧客户端管理进程,本身为静默安装包。http://img.bbs.duba.net/forum/201910/28/174330w5x1dqgm6686t365.png
2.2后门触发逻辑“多点检测”安装包在安装过程中会释放一个服务模块YjService.exe,该服务模块启动前会判断用户环境,是否有网吧客户端进程,是否有Tencent注册表项以确认是一个有效用户。YjService.exe启动后同样会再次检测上述用户环境,通过创建定时器设置2小时后触发,定时器触发后获取云端后门模块URL,经过解密后的返回数据:{"url":"http://dl.ltwpjb.cn/gx/netpipe.exe", "md5":"08400228fdf4b0c69b6cba47ca1997ee", "time":"1571716765"}
此后门模块netpipe.exe最终通过内存加载执行。http://img.bbs.duba.net/forum/201910/28/174342j5mlj8rlzvb3vtc3.png
2.3 后门功能netpipe.exe得到执行后会再次进行环境检查,作者每走一步都非常谨慎,因之前被我们披露过,作者在此多加了一条毒霸检测,以躲避毒霸安全团队的监控。同时通过获取云端规避城市列表规避以下城市 :[{"city": "上海"},{"city": "深圳"},{"city": "北京"},{"city": "珠海"}]。
此模块主要功能就是根据云端配置推广病毒和流氓软件。下载恶意文件到临时目录,通过创建explorer.exe进程传入文件路径作为参数执行。本次获取到的配置url有两条,url0为带推广ID的流氓软件EmNotepad,url1为“独狼”和QQ蠕虫母体:{ "url0" : "http://down.58bingboluo.com/EmNotepadInstall-4740.exe", "url1" : "http://dl.ltwpjb.cn/gx/hbei.exe"}http://img.bbs.duba.net/forum/201910/28/174354wsrc23sp6rp1y5ey.png
2.4 庐山真面目hbei.exe“独狼”母体与我们之前报道过的过”群魔乱舞”一文中的“cscp.exe”行为和代码基本一致,只是更新了相关云控下载链接,其下载的独狼病毒已经被多家安全厂商披露,且没有太大更新,就不再详细展开分析。hbei.exe执行后,会获取云端版本与本地版本对比是否一致作为云控开关控制病毒传播,本次获取到版本为9.1.2,通过后会尝试下载3张jpg图片,实际为PE文件,这些链接被硬编码在了程序内部,其中Good.jpg为QQ蠕虫病毒,会盗取用户token发送留言和小广告,better.jpg为“独狼”病毒,best.jpg链接已经失效。通过创建傀儡系统进程iexpress.exe 注入病毒代码执行。其中“独狼”病毒通过释放RootKit驱动模块内核注入用户浏览器进程实现主页劫持,该驱动功能完善包含文件系统过滤、注册表过滤、网络过滤、进程镜像过滤等多种技术对抗杀软查杀。注入到浏览器后会解密自身区段配置文件,根据配置文件中的url添加命令行参数进行锁主页。
经过我们解密后的配置如下图,其中bkcurl的链接无法访问,可能病毒在铺量阶段还没有生效,根据其前几个版本的配置推测,该配置主要内容为带推广ID的软件和DDOS攻击病毒。http://img.bbs.duba.net/forum/201910/28/174404gx3ppa3c23ond57c.png
锁主页效果:http://img.bbs.duba.net/forum/201910/28/174413ght3k03ihvnktm1k.png
3、下载器避坑指南 “软件下载器”向来是病毒传播的温床,例子已经数不胜数,随着“”的临近,流量劫持类病毒在利益的驱使下还会迎来一波传播高峰,毒霸安全团队建议: 1. 用户在下载站下载软件时不要被诱导去点击大框的高速下载按钮http://img.bbs.duba.net/forum/201910/28/174428vysf6ynnvf3xlzfy.png
2. 仔细对比页面展示的文件大小类型和下载的文件大小类型,不一致就要当心了。如果下载下来的文件命名型如: 软件名@数字_数字.exe就是下载器了。
3. 二次打包被捆绑类型,下载下来咋一看图标大小没问题,但是把文件后缀名改成rar或zip,7z等压缩格式即可看出真面目。对于此类软件都可以在官网或毒霸软件管家中下载。http://img.bbs.duba.net/forum/201910/28/174436vcpcmmyepyxuiu7e.png
IOC:[签名]Lianyungang Over Season Winter Network Technology Co., Ltd.
http[:]//dl.2144zm.cn/dt/PHardware_1002_s_packet.exe"http[:]//yibaidh.com/index.phphttp[:]//tji.qrscq.comhttp[:]//yshuiv.com/config/mininews.jsonhttp[:]//yshuiv.com/config/updater.jsonhttp[:]//yshuiv.com/config/asdata.jsonhttp[:]//yshuiv.com/config/cscfg.jsonhttp[:]//yshuiv.com/config/dlproxy.jsonhttp[:]//dl.ltwpjb.cn/gx/netpipe.exehttp[:]//dl.ltwpjb.cn/gx/hbei.exehttp[:]//204.12.196.46/Ver/Ver.txthttp[:]//204.12.196.46/Ver/Good.jpghttp[:]//204.12.196.46/Ver/better.jpghttp[:]//204.12.196.46/Ver/best.jpghttp[:]//204.12.196.46/DuoWan/better.jpghttp[:]107.150.51.206/51la/hz.htmlhttp[:]//ccs.ddd222.xyzhttp[:]//204.12.196.46:89/107.150.51.203107.150.51.206
[MD5]19E2407C9DD53234C8A8BCD38C86B187334B0B77F54B0ED16BE33891BA84C7F8DC2E380614D2185D0FAB9DCB2C428A57BB14CDD1E8BE9604090D18AD3A64EAEB0FFB8D6DE257117B184FB7CE50295CD0
FC50E2A6594EB02D1D59C9DE2F80B481B3E0464107C30075652F67D36F446DC95562D51F96757E3B30BE9076E3DE5FE32e708e2b8d6e5a55a0e0b58b3d0efd224d207dbae5ebe1f61954fbde6ca7753849953f7fec3ad71b704e25d2a67f0d47c02273ec179ac58ba9bc1cc7f65103265BB09D781DBA72CA82F68408A2DB3452F058732D50D244F381E784DD9338BB135CFC2D1B4A692887F7807F7FB89A53F94D207DBAE5EBE1F61954FBDE6CA775387F5CFDD6DD5A4277179B663A253DBA7ED48293AFE925AC9465B41D3508DAAF8E733D545D2938CD69BD603763CD11A9233EF4BC445CEF74373AA3CC6EF3797838
netpipe网管???这蹩脚的英语 - - 多特就不是什么好货,十几年前就发现它的文件带料,弃用至今,依然助纣为虐。这个网站可以永久拉黑了。 很烦这种自带下载器的 一般宁愿换其他地方再找找 学习一下谢谢 厉害了,学习学习 学习了还真得提高警惕 谢谢谢谢 多特原来还是很不错的!哎,飘了飘了 谢谢楼主分享,学习到了 谢谢楼主 多特可以拉黑了,以前常用的,也毁了 毒霸如何查看到他的内部访问的统计页的,其他域名都显示出来了,为什么不把后台的域名显示出来