"黑狐"修炼成“肥兔”,百万上网主页沦陷!!!
本帖最后由 lf774733240 于 2015-7-24 11:13 编辑一.火眼金睛识“肥兔”1."肥兔"的来历
近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件,目前管家已经全面拦截和查杀。
该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等方面有极大的相似性,可以确定是同一作者所为。同时,管家在追踪该木马时,发现其每个重要的模块都包含了如下的调试路径,从该路径可以看出该木马的工程名为“feitu32Ej64-混沌后台”。管家因此将其取名“肥兔”,实际上为黑狐的新变种。
无独有偶,管家在“黑狐”木马的伪装文件中,也察觉到“肥兔”的身影,可初步推断“肥兔”项目酝酿已久。2.“肥兔”大剖解
“肥兔”木马的安装模块(FeiTuDll.dll)经由各种传播渠道下载执行后,木马会进行一系列的下载安装过程,经过分析发现“肥兔”木马有着比较复杂的功能和模块划分,应该是团队作者所为,经过各种复杂的检测和绕过,木马最终实现长期驻留、干掉安全软件、锁定浏览器主页、推广流氓软件等。模块和功能的具体分工示意图如下: “肥兔”木马功能示意图 “肥兔”木马模块分工示意图3.火眼金睛识"肥兔" “肥兔”木马会通过多种方式向下推广,日均推广量10W+,推广后会通过替换系统文件而长期驻留在系统中,对系统稳定性和用户的隐私安全造成极大的威胁,目前该木马主要是通过流氓推广和浏览器锁主页来实现盈利。 “肥兔”木马至今已感染了数百万台计算机,相当于国内的每300台电脑就有1台中了“肥兔木马”,那么如果判断自己的电脑是否已经中招?管哥教你一招可快速判定:首先打开浏览器,如果发现打开后的完整主页地址为http://www.2345.com/?32420(如图)或http://hao.congcon.com(如图),那么你已经中了“肥兔”木马;如果你最近经常发现电脑被莫名地装上了xx杀毒、xx浏览器、xx桌面,那么你也很可能是中了“肥兔”的埋伏。 主页被设置为http://hao.congcon.com,联网情况下该页面被如下图所示地址:重定向后的主页:二.“肥兔”势力看涨,部分地区肆虐成灾1.“肥兔”势力看涨通过数据分析,从5月7日展开推广以来,“肥兔”已经总安装量估计已达数百万。在7月11日安装量更高达641360次之多,“肥兔”威力不容小嘘。“肥兔”势力的走向图和日安装量如图所示。2.“肥兔”肆虐重大区“肥兔”木马活跃于全国各地,感染量最为集中的有广东、江苏、山东、河南、浙江、河北和北京等地。其中广东占去了9%的感染份额,紧接其后的江苏和山东,各占全国肥兔感染量8%的比例。三.“肥兔”和“黑狐”:不得不说的一段关系 从多方面来看,“黑狐”和“肥兔”木马属于同一团队开发,从爆发的时间节点看,两者的关系可能是替代关系(黑狐活跃时间:2015年3月-5月,肥兔活跃时间:2015年6月-7月)两个木马之间的相似性和差异性总结如下:1.“肥兔”与“黑狐”相似点 肥兔”木马与“黑狐”木马有着诸多的相似之处:如都是通过替换系统cscdll.dll或sens.dll文件来实现长期驻留于系统中;推广相同的流氓软件;最初下载的病毒体以相同的方式隐藏在图片的尾部;而本机信息上报、木马作案手段上有着极大的相似性。在编译环境方面,通过对比管家发现“黑狐”木马的所有模块都使用delphi编写,而“肥兔”的主功能模块已采用VS编写,非主功能模块还是使用delphi编写。2.“肥兔”与“黑狐”危害更大肥兔”实际上是由“黑狐”变种而来,但与老“黑狐”相比,它有着更大的危害性。 首先“黑狐”木马会在系统关机的时候将系统文件替换成木马文件,而在开机启动后将系统文件还原回去,而“肥兔”木马从植入其就用木马文件替换系统文件,也未对系统文件做任何备份,因此对系统的稳定性造成极大的影响,容易导致系统蓝屏、死机等。
其次,“黑狐”木马加载驱动只为隐藏自身不被发现,未对系统进行攻击;而“肥兔”木马在驱动中劫持浏览器进程启动实现锁主页,同时还会干掉系统安装的杀毒软件。因此对于用户计算机来说,“肥兔”有着更强的破坏性。四.那么怎么干掉“肥兔”?你懂的1. setup_3l.exe文件分析 样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线 样本运行后下载了一张图片http://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路径信息。2. FeiTuDll.dll 文件分析 样本MD5:a5b262da59a352b1c4470169183e094b FeiTuDll.dll运行后,收集以下信息:1)通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息2)检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程3)检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器4)本机MAC地址5)本机操作系统版本收集完成后将信息提交到http://count.tianxinli.org/player/tj.php参数格式及说明如下:
op=install (操作) ri= (当前进程名) mc= (MAC地址) vs=1.0.0.1 (木马版本) dq= (int.dpool.sina.com.cn返回的IP等信息) sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合) os=(操作系统版本) sc= (屏幕分辨率) bar= (是否网吧 1:是 0:否) tm= (当前时间戳) key= (以上信息的MD5校验)
接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。
随后木马会下载“大天使之剑”的安装包到本地,并执行安装。
安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。
3. tmp.exe 文件分析根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
4. yrd.tmp (Sens.dll、Cscdll.dll)文件分析捕捉到的其中几个广度较大的变种MD5如下:f749521e9e380ecefec833d4404008278ccf78082effa9cd3eaffbeb2a04039f4bf8a7fd3a91e47d816cab694834be65a18d30fef0a73cce4131faf2726adfdb8c10cc9cde85457b081ecf7cba997019该文件的PDB信息如下:
该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程
5. %WinDir%\svchost.exe文件分析该文件pdb信息如下:
该文件同时被执行两次,根据互斥量来进行如下不同的分工:先被执行的进程行为:1)释放LKS19.tmp驱动文件并加载2)创建名为sysPipa的管道接收命令3)与驱动进行通信,将命令传递给驱动后被执行的进程行为:1)获取本机各种信息发送到http://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。2)查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程3)从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exehttp://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B50771644974)关闭UAC
6. 驱动文件LKS19.tmp分析
该驱动文件具有以下功能:1) 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定2) 根据命令修改锁定的主页地址3) 根据命令,结束指定的进程4) 根据命令,hook指定的SSDT表函数
7. SVCH0ST.exe文件分析:该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利。推广的软件列表如下:
以上的文字来自腾讯,由于分散较乱,我就把它重新整理了一遍,为大家参考,同时也提醒坛友注意到这个问题,这个病毒好像是最近爆发的,我也是刚刚得知的。作为一名新人,这也是我为大家送来的见面礼!!!以后还望各位共同学习,共同进步!!!{:301_987:}{:301_988:}{:301_987:}
沙发占了先。好恐怖的感觉 强大,吓人。 我就昨天刚中过,用它推广的360灭了,今天又用360急救箱又杀了一遍,应该灭掉了吧 中了病毒,电脑岂不是废了- -,建议在虚拟机,影子系统,沙盘中运行- -要备份电脑重要文件!!! 养成良好的上网习惯及基础的防杀毒知识,比 虚拟机,影子系统,沙盘 什么的还有效
感谢分享 支持楼主 学习了 所以在上网的时候不要下载不明软件,下载也要好好杀毒一下后再打开 这厉害了啊
页:
[1]
2