梁景祯,警察在找你!Ban:huitailang【多次注册马甲发布软件捆绑木马】
Ban:huitailang【多次注册马甲发布软件捆绑木马】此人最早可以追溯到2015年4月的大号418500646发布软件被发现捆绑木马封号了
俄罗斯软件公司【ABBYY泰比】11中文版+注册补丁【图片转文字】【pdf转word】精准度99%
http://www.52pojie.cn/thread-347585-1-1.html
之后,此人乐此不疲,依然时不时注册账号来发个软件捆绑木马,利用时下比较热门的软件如”百度云加速破解版“、”TeamViewer破解版“等,很不巧的是论坛为了保障用户安全,新手发帖都需要审核通过才能显示,绝大多数情况下在木马贴还没发出来就被封号了,下面我们来庖丁解马,把这个捆绑远控的木马剥离分尸看看他究竟都有些什么功能。
一:木马行为分析
此远控木马以”正常白文件+木马DLL“的方式进行运作(过主流安全软件云防护),目前发现三种被利用白文件,以TeamViewer捆绑的木马举例分析,木马核心就2个文件:
TeamViewer无限换ID.exe(正常文件,用来劫持 MD5: F28DC3698714D559C20E46D1780FA9B0),这文件原始名称是IRScriptEditor.exe,木马作者为了达到劫持的目的,改名成TeamViewer来混淆视听。
cmcs21.dll (木马文件 MD5: 7A3D3060EEAB5566A52B819713328367),这是木马的核心DLL。
运行TeamViewer无限换ID.exe后,程序会自动加载cmcs21.dll木马DLL,这时候cmcs21.dll开始干活,简单来说干了以下几件事:
1、检测是否存在vmtoolsd.exe进程,来判断是否是虚拟机,如果是的话就退出。
2、通过修改EnableLUA注册表来禁用UAC。
3、释放出3个新的木马文件并复制TeamViewer无限换ID.exe和cmcs21.dll到指定目录
C:\Program Files\Windows NT\iusb3mon.exe(正常文件,用来劫持MD5: 86E78DBD4C4B87594B0D8D4D85894682)
C:\Program Files\Windows NT\iusb3mon.dll(木马文件 MD5: 36923A0170B1FDF4F1B94D0D24F208F6)
C:\Program Files\Windows Media Player\SystemCsrss.exe(就是上面的TeamViewer无限换ID.exe)
C:\Program Files\Windows Media Player\data.sys(非PE文件,被加密的木马核心EXE,后面接续说)
C:\Program Files\Windows Media Player\cmcs21.dll(同上cmcs21.dll)
4、将释放的iusb3mon.exe劫持文件添加到启动项做自启动,并运行(图为SSM主动防御程序拦截)。
C:\Program Files\Windows NT\iusb3mon.exe正常文件运行后会自动加载目录下的木马iusb3mon.dll文件,这个DLL功能很简单,就是启动C:\Program Files\Windows Media Player\SystemCsrss.exe木马,这个exe被劫持放到启动项的目的就是重启电脑后启动木马。
我们接着看SystemCsrss.exe(依然是木马dll的功能)启动后干了什么:
1、检测是否存在vmtoolsd.exe进程,来判断是否是虚拟机,如果是的话就退出。
2、通过修改EnableLUA注册表来禁用UAC。
3、读取目录下data.sys进行解密,解密出来以后是一个exe,暂命名为data.exe(木马文件 MD5: B870A317D9B16BE72BD10418931A1A01),然后通过傀儡进程的方式把解密出来的exe写到自己的进程中并执行。
做了这么多次的黑白文件利用,终于主角要登场了,data.exe文件其实也是一个loader,他会通过自己程序中一段加密代码解密出space.dll(木马文件 MD5: 1906EB41E171693E16F18495F838DD34),然后内存加载DLL进行执行。
space.dll就是远控木马的核心了,功能挺多,支持远程多开、内网映射等,就不一一赘述了,简单看一下木马作者留的上线地址
”Z4ODfzksLHVpbn+ALXBsaixmfyxsaC2Dd4NP“加密了,解密后”http://fjaps.com/ip/ok.txt“,域名使用的是阿里云万网注册的,服务器也使用的是阿里云服务器,包含120.27.123.191、120.25.247.207、139.224.194.3,木马作者真实IP:117.30.46.85(2016-11-16 15:23 从运营商那通过ip很容易查到人)
木马的内网映射功能会从http://www.xmhairong.com/htl/lcx.exe下载文件进行。
文中涉及文件:
TeamViewer无限换ID.exe(正常文件,用来劫持 MD5: F28DC3698714D559C20E46D1780FA9B0)
cmcs21.dll (木马文件 MD5: 7A3D3060EEAB5566A52B819713328367)
iusb3mon.exe(正常文件,用来劫持MD5: 86E78DBD4C4B87594B0D8D4D85894682)
iusb3mon.dll(木马文件 MD5: 36923A0170B1FDF4F1B94D0D24F208F6)
data.exe(木马文件 MD5: B870A317D9B16BE72BD10418931A1A01)
space.dll(木马文件 MD5: 1906EB41E171693E16F18495F838DD34)
已经把木马打包,压缩包中1.IRScriptEditor就是上文分析的文件,2.tpsvcBase是老版本的木马(上线地址http://fjaps.com/ip/2118529640.txt),感兴趣的同学可以下载自行分析:
解压密码:52pojie
注:木马程序中有部分加了VMP和Shielden的壳,使用论坛OD即可正常调试,虚拟机注意vmtoolsd.exe进程会被检测。
二:木马作者信息
和放小木马的家伙你来我往这么久,这人到底是谁了?警察叔叔都在找你!通过域名和被封账号不难查出木马作者常用信息如下:
姓名:梁景祯
年龄:31
身高:身高171CM
出生地:福建泉州人
暂住地:福建厦门
手机:13666044244
QQ:418500646
微信:vip-20000
支付宝:viphuitailang@foxmail.com
邮箱:xmhairong@126.com
小编还看到木马作者在网上发的交流帖子,天天在电脑前搞木马是约不到女盆友滴!(主要还是丑。。。照片不贴了)
三:围剿木马抓捕梁景祯
近期此人趁开放注册活跃用户增加帖子数量增多,在管理没能审核到的新帖发布了捆绑远控的木马进行传播,根据统计,我们发现确实有论坛部分用户中招,并且深夜无人的时候远程控制肉鸡的老账号来发木马贴,在第一时间查封账号封锁源头。
通过木马文件分析后,我们已经和360安全卫士、QQ电脑管家、阿里云和网警取得联系,将木马详细的工作手段和传播方式交给安全厂商,在360安全卫士和QQ电脑管家工作平台上可以彻底查杀!将木马作者的阿里云服务器和阿里万网注册的域名提供给阿里,木马作者的阿里云服务器已经被查封,fjaps.com域名也在给阿里万网反馈中,大家可以一同发邮件举报反馈infosec@service.aliyun.com,可以尽早的封掉木马域名,这样木马作者就无法进行控制了。木马作者的信息已经提交给网警,由他们介入调查,如果有同学中毒可以在当地执法机关报案,一同对梁景祯进行抓捕!吾爱最为活跃的互联网精英们多数来自这些安全公司,在这撒野只能湿了自己的裤裆,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
以防万一,建议大家使用360安全卫士或者QQ电脑管家进行木马查杀,防止中毒,有经验的朋友可以通过上述木马分析自行诊断是否中毒,大家在下载使用论坛程序的时候请多注意安全,如果发现任何有问题的程序可以到论坛投诉举报区举报,我们会及时处理,同样我们也会坚持和加强对论坛安全性保障,持续监控木马做作者的小动作。
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!
虽然木马作者的阿里云服务器已经被查封,但fjaps.com域名暂时还没被查封,阿里内部已经帮忙反馈,大家可以一同发邮件举报反馈infosec@service.aliyun.com,可以尽早的封掉木马域名,这样木马作者就无法进行控制了。
为了安全起见,大家应该用360进行木马扫描查一下,保证电脑安全。
2016.12.7 木马作者更新木马,使用腾讯TP白文件劫持TPHelperBase.dll木马DLL方式,虚拟机检测多增加了vmtools的其他进程,使用最新上线域名:
http://360tray.vip/dns/211852.txt
103.230.123.118
112.74.204.198
点我启动百度云.exe MD5: A4160B50026DDC0F8D6ED33F0B679A06
C:\WINDOWS\ActiveSocketes.zip
C:\WINDOWS\2.exe
C:\WINDOWS\TPHelperBase.dll MD5: 720D69EA2F25BC5669811FB5E2600363
C:\Program Files\Common Files\System\Ole DB\nusb3mon.exe
C:\Program Files\Common Files\System\Ole DB\nusb3mon.dll MD5: 8697811C8704F51C1CD38FE3DAE9AFC8
C:\Program Files\Common Files\System\msadc\SystemCsrss.exe
C:\Program Files\Common Files\System\msadc\TPHelperBase.dll MD5: 720D69EA2F25BC5669811FB5E2600363
C:\Program Files\Common Files\System\msadc\CPUID.des
样本下载,解压密码:52pojie
2017.1.6 木马作者在此捆绑大灰狼远控木马http://www.52pojie.cn/thread-570588-1-1.html ,木马使用服务启动。
木马位置:
C:\Program Files\Common Files\svchost.exe (load程序 MD5: 89C9EDABBD9C85F2A04FB8F50FE9BB98)
C:\Program Files\AppPatch\fku.dll(dll木马核心 http://123.57.83.46/fku.dll 下载来的)
木马还会下载:http://www.baihes.com:8282/cpa.exe
木马上线地址从qq空间获取:
users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=2118529640
返回加密地址:
portraitCallBack({"2118529640":["http://qlogo1.store.qq.com/qzone/2118529640/2118529640/100",0,-1,0,0,0,"###tvxuqtxwdagy***",0]})
解密又是阿里云服务器:
123.57.83.46
木马远控肉鸡后会用TeamViewer正规远控进行远程盗取支付宝资金,受害者:http://www.52pojie.cn/thread-571115-1-1.html ,大家可以一起报案,论坛提供的技术信息可以轻松抓人。
样本下载,解压密码:52pojie
2017.5.8再次捕捉到一个样本,360tray.vip木马上线域名再次恢复
http://360tray.vip/dns/bw0rg6.txt
imdtend.dopaminee.top
120.25.250.149
样本下载,解压密码:52pojie
2017.7.31 木马作者依然活跃,更换木马控制端域名
gamelion27.vancleefarpelspro.com
120.24.165.30
样本下载,解压密码:52pojie
木马作者已经被抓。 本帖最后由 轩少 于 2016-11-23 14:43 编辑
姓名:梁景祯
年龄:31岁
QQ:418500646
身高:171cm
毕业学校:青岛农业大学
社会关系:
幕后老板-李子龙(在职于北京金山科技,对木马服务端做免杀360处理,并负责搭建网站)
骗子女朋友-改名前:梁景耀 改名后:梁景珍/祯(疑似本人,性别女,国内外的域名和域名空间全在此人名下,安防行业一家皮包公司的法人,目前也从事网络诈骗)
主要骗子成员-XXXX波(QQ:312019071 应该是叫李小波,宁波职业技术学院毕业,此人负责使用木马盗号并洗信,并以低价充值游戏货币和贩卖游戏账号诈骗,现居浙江省宁波市余姚市 于1994年12月30日出生)
主要骗子成员-马XXXX(QQ:1870086154 ,应该叫马锦江,手机号15185357408 ,此人责网络招嫖并实施诈骗,曾在河北石家庄卖电话小黑卡,现居地贵州省安顺市平坝县区肖家村 于1997年8月16日出生)
祖籍:泉州
电话:
13850008222 13666044244
13666044144
86-0592-7551589
微信:vip-20000
邮箱:xmhairong@126.com
418500646@qq.com
业界出身:12年加入华中黑客组织至今
业界水平:脚本小子,仅会捆绑传播
木马类型:ghost华中帝国专版
大灰狼个人修改版
aegis crypter8.5
独资公司(民间借贷性质):
厦门市海融正大投资有限公司
公司地址:
一:厦门市同安区岳东路6号
二:上海市
虹口北外滩大连路535号创富大厦
杨浦区五角场国定东路275号8楼
杨浦区五角场国宾路18号12楼
虹口区欧阳路85号14楼
虹口区花园路128号一街区a座2楼
浦东新区八佰伴张杨路560号1103室
普陀区中山北路2911号5楼
闵行区莘庄莘凌路211号6楼
闵行区东兰路248号A栋3楼3
徐汇区中山西路1602号2楼
徐汇东安路599号 西塔(B座)7楼
黄浦区中华路1359号7楼
静安区新闸路1136弄1号10楼
闸北区江场西路299弄49号601室
虹口区大连路535号3-4楼厦门市湖里区枋湖路368号【2016年11月23日查到】
现居地:
厦门市同安区西科环东海域 83栋 2楼
北京夏家胡同(西行)育芳小区附近
常出差去地:
北京市丰台区南苑机场附近一家理发店
这是一个从事民间借贷和网络诈骗团伙公司,成员四十多个,年龄多从23-32岁不均,剩下资料正在查询...请叫我红领巾~
@LCG @Hmily @Peace
根据作者IP查到的地址
数据来源1:福建省厦门市
数据来源2:中国 福建省 厦门市 思明区 福建省厦门市思明区湖滨北路314号 在巴罗克钢琴艺术中心(莲岳分校)附近, 在育秀中路旁边, 靠近湖滨北路--育秀东路路口
数据来源3:福建省厦门市同安区梧侣路 禹洲阳光花城附近32米
数据来源4:福建省 厦门市 同安区区 最有可能距离:[五显路219号]附近2000米范围内 厦门市同安职业技术学校附近 福建省厦门市同安区五显镇五显路219号 附近 厦门市同安职业技术学校 附近 福建省厦门市同安区五显镇五显路219号 附近 厦门市同安职业技术学校-南门 附近
数据来源6:中国 福建省 厦门市 同安区 福建省厦门市同安区同辉路63号 在中国邮政储蓄银行(厦门同安区新民营业所)附近, 在同辉路旁边, 靠近二环南路--同辉路路口
数据来源7:福建省厦门市同安区同辉路666新民,城南路 名剑幼儿园北100米
数据来源10:中国 福建省 厦门市 同安区 福建省厦门市同安区通褔路686-之14号 在官浔附近, 在西福三路旁边, 靠近海翔大道--西福三路路口
数据来源11:福建省厦门市同安区滨海西大道辅路 后田村附近46米
数据来源12:福建省 厦门市 同安区区 最有可能距离:[布塘缉仔亭里6号]附近2000米范围内 缉仔亭公交车站附近 福建省厦门市同安区五显镇布塘村缉仔亭里86号 附近 厦门永佳捷物流有限公司 附近
版主膜拜啊,一直很放心的用吾爱破解的软件,都是管理员辛苦审核的结果,感谢管理员! 姓名:梁景祯
年龄:31
身高:身高171CM
出生地:福建泉州人
暂住地:福建厦门 厦门市湖里区枋湖路368号
手机:13666044244 /13779989506
QQ:418500646
微信:vip-20000
支付宝:viphuitailang@foxmail.com
邮箱:xmhairong@126.com
两家公司唯一股东:
厦门海融正大投资管理有限公司 10万元
厦门市同安区岳东路6号
厦门海融正大投资有限公司
厦门市同安区岳东路6号
我的天 我看下我有没有中毒 前段时间我还下载了那 我只想说,干得好 呵呵 抓鸡也敢来52不知道52的都是凤凰啊··· 威武,真威武,厉害。佩服。这种人真该死 关键是抓了再上抓捕图才是威武,怕就怕没人管, 前排前排!出售香烟啤酒瓜子! 谢谢楼主 前排赶紧占位{:17_1089:} 微博看到过来 的{:1_912:} 支持别走偏路 可以这很“坦诚直率”