吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 30429|回复: 198
收起左侧

[转载] 下载器又惹祸:“独狼”病毒再度寄生传播

    [复制链接]
bambooslip 发表于 2019-10-28 18:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
1、概述
近期毒霸安全团队再次监控到一起病毒传播活动,监控数据显示本次的病毒传播源头为“多特下载器”,分析后我们确认该下载器静默推送的”多点检测”暗藏的后门,被用来推广病毒和流氓软件。其代码结构逻辑和我们之前报道过的群魔乱舞:五大国产病毒家族的末日收割”一文中的“速搜”高度相似,可以确认为同一团伙所为。

本次传播主要行为是通过三次云控机制推送独狼(幽虫)QQ蠕虫病毒,以及推广流氓软件,劫持用户主页流量牟利。本次传播被迅速捕获,目前还处于铺量阶段,但是通过其内部访问的统计页显示日感染量已接近1万,感染病毒重灾区分布在山东,江苏,河南,还有上升趋势。


其整个传播执行流程如下:



2、技术分析
2.1下载器的那些事
        本次病毒传播通过监测发现来自多特下载站的下载器,此类下载器属于“三无产品”:无签名、无版本、无厂商信息,但都有云端配置,每次启动后会获取云端配置,根据配置规则展示用户环境可推广的软件。这些配置可随时更新,即使被发现传播病毒只要更改云端配置也就无法追查,隐蔽性极强违法成本也极低。

        站点在推广软件时并不会去审核被推广软件是否安全,其界面标榜的杀毒检测通过都是虚假的。配置中为每个推广软件定制了一套私有规则,“filter_process”字段决定了需要规避的进程名,“silent”字段为静默安装的命令,如果本身为静默包则为空,以本文中的“多点检测”为例其安装配置过滤360进程和网吧客户端管理进程,本身为静默安装包。



2.2后门触发逻辑
“多点检测”安装包在安装过程中会释放一个服务模块YjService.exe该服务模块启动前会判断用户环境,是否有网吧客户端进程,是否有Tencent注册表项以确认是一个有效用户。YjService.exe启动后同样会再次检测上述用户环境,通过创建定时器设置2小时后触发,定时器触发后获取云端后门模块URL,经过解密后的返回数据:
{"url":"http://dl.ltwpjb.cn/gx/netpipe.exe", "md5":"08400228fdf4b0c69b6cba47ca1997ee", "time":"1571716765"}

此后门模块netpipe.exe最终通过内存加载执行。



2.3 后门功能
netpipe.exe得到执行后会再次进行环境检查,作者每走一步都非常谨慎,因之前被我们披露过,作者在此多加了一条毒霸检测,以躲避毒霸安全团队的监控。同时通过获取云端规避城市列表规避以下城市 :[{"city": "上海"},{"city": "深圳"},{"city": "北京"},{"city": "珠海"}]。

此模块主要功能就是根据云端配置推广病毒和流氓软件。下载恶意文件到临时目录,通过创建explorer.exe进程传入文件路径作为参数执行。本次获取到的配置url有两条,url0为带推广ID的流氓软件EmNotepadurl1“独狼”和QQ蠕虫母体:
{
       "url0" : "http://down.58bingboluo.com/EmNotepadInstall-4740.exe",
       "url1" : "http://dl.ltwpjb.cn/gx/hbei.exe"
}



2.4 庐山真面目
hbei.exe独狼”母体与我们之前报道过的过”群魔乱舞”一文中的“cscp.exe”行为和代码基本一致,只是更新了相关云控下载链接,其下载的独狼病毒已经被多家安全厂商披露,且没有太大更新,就不再详细展开分析。hbei.exe执行后,会获取云端版本与本地版本对比是否一致作为云控开关控制病毒传播,本次获取到版本为9.1.2,通过后会尝试下载3张jpg图片,实际为PE文件,这些链接被硬编码在了程序内部,其中Good.jpgQQ蠕虫病毒,会盗取用户token发送留言和小广告,better.jpg“独狼”病毒,best.jpg链接已经失效。通过创建傀儡系统进程iexpress.exe 注入病毒代码执行。其中“独狼”病毒通过释放RootKit驱动模块内核注入用户浏览器进程实现主页劫持,该驱动功能完善包含文件系统过滤、注册表过滤、网络过滤、进程镜像过滤等多种技术对抗杀软查杀。注入到浏览器后会解密自身区段配置文件,根据配置文件中的url添加命令行参数进行锁主页。

经过我们解密后的配置如下图,其中bkcurl的链接无法访问,可能病毒在铺量阶段还没有生效,根据其前几个版本的配置推测,该配置主要内容为带推广ID的软件和DDOS攻击病毒。



锁主页效果:



3、下载器避坑指南
软件下载器向来是病毒传播的温床,例子已经数不胜数,随着“”的临近,流量劫持类病毒在利益的驱使下还会迎来一波传播高峰,毒霸安全团队建议:
1. 用户在下载站下载软件时不要被诱导去点击大框的高速下载按钮



2. 仔细对比页面展示的文件大小类型和下载的文件大小类型,不一致就要当心了。如果下载下来的文件命名型如: 软件名@数字_数字.exe就是下载器了。

3. 二次打包被捆绑类型,下载下来咋一看图标大小没问题,但是把文件后缀名改成rar或zip,7z等压缩格式即可看出真面目。对于此类软件都可以在官网或毒霸软件管家中下载。




IOC
[签名]
Lianyungang Over Season Winter Network Technology Co., Ltd.

[URL/HOST/IP]
http[:]//dl.2144zm.cn/dt/PHardware_1002_s_packet.exe"
http[:]//yibaidh.com/index.php
http[:]//tji.qrscq.com
http[:]//yshuiv.com/config/mininews.json
http[:]//yshuiv.com/config/updater.json
http[:]//yshuiv.com/config/asdata.json
http[:]//yshuiv.com/config/cscfg.json
http[:]//yshuiv.com/config/dlproxy.json
http[:]//dl.ltwpjb.cn/gx/netpipe.exe
http[:]//dl.ltwpjb.cn/gx/hbei.exe
http[:]//204.12.196.46/Ver/Ver.txt
http[:]//204.12.196.46/Ver/Good.jpg
http[:]//204.12.196.46/Ver/better.jpg
http[:]//204.12.196.46/Ver/best.jpg
http[:]//204.12.196.46/DuoWan/better.jpg
http[:]107.150.51.206/51la/hz.html
http[:]//ccs.ddd222.xyz
http[:]//204.12.196.46:89/
107.150.51.203
107.150.51.206

[MD5]
19E2407C9DD53234C8A8BCD38C86B187
334B0B77F54B0ED16BE33891BA84C7F8
DC2E380614D2185D0FAB9DCB2C428A57
BB14CDD1E8BE9604090D18AD3A64EAEB
0FFB8D6DE257117B184FB7CE50295CD0
FC50E2A6594EB02D1D59C9DE2F80B481
B3E0464107C30075652F67D36F446DC9
5562D51F96757E3B30BE9076E3DE5FE3
2e708e2b8d6e5a55a0e0b58b3d0efd22
4d207dbae5ebe1f61954fbde6ca77538
49953f7fec3ad71b704e25d2a67f0d47
c02273ec179ac58ba9bc1cc7f6510326
5BB09D781DBA72CA82F68408A2DB3452
F058732D50D244F381E784DD9338BB13
5CFC2D1B4A692887F7807F7FB89A53F9
4D207DBAE5EBE1F61954FBDE6CA77538
7F5CFDD6DD5A4277179B663A253DBA7E
D48293AFE925AC9465B41D3508DAAF8E
733D545D2938CD69BD603763CD11A923
3EF4BC445CEF74373AA3CC6EF3797838

点评

贼喊捉贼,毒霸本身就很流氓和各种误导  发表于 2019-11-1 12:53

免费评分

参与人数 66吾爱币 +63 热心值 +63 收起 理由
红楼一梦 + 1 毒霸 属于流氓中的战斗机 所以大伙应该知道为啥叫毒霸了
大陆小伙操港婊 + 1 + 1 我很赞同!
Mouse + 1 + 1 我很赞同!
晨曦照相 + 1 + 1 我很赞同!
抱歉、 + 1 我很赞同!
aisiqiba + 1 + 1 谢谢@Thanks!
yangsd973 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
SherFu + 1 鼓励转贴优秀软件安全工具和文档!
duanfazi + 1 用心讨论,共获提升!
Lys520 + 1 + 1 热心回复!
被封号的萌新 + 1 + 1 用心讨论,共获提升!
sxpl + 1 + 1 我很赞同!
Pear + 1 + 1 热心回复!
yaan + 1 + 1 我很赞同!
2k小z + 1 我很赞同!
盛世玫瑰 + 1 贼喊捉贼,毒霸本身就很流氓和各种误导
wangsun110 + 1 + 1 谢谢@Thanks!
hgfty1 + 1 + 1 用心讨论,共获提升!
Yahoo + 1 热心回复!
流星火雨 + 1 + 1 用心讨论,共获提升!
segoon + 1 + 1 虽不明但觉厉
DI丶梦龙 + 1 + 1 我很赞同!
22395456 + 1 + 1 我很赞同!
阿萌不哭 + 1 + 1 我很赞同!
zhcxt + 1 + 1 热心回复!
lyslxx + 1 + 1 我很赞同!
泰囧熊 + 1 + 1 用心讨论,共获提升!
dmshallot + 1 + 1 虽然看不懂,但是很有用~
huanghuiqin8856 + 1 + 1 虽然看不懂,但是好厉害的样子。
南非马化腾 + 1 + 1 早年的XP系统是没有办法才从多特下载软件,现在有这么多渠道已经不必要到那.
少林大虾 + 1 + 1 谢谢@Thanks!
李立行 + 1 + 1 用心讨论,共获提升!
落木潇潇 + 1 + 1 谢谢@Thanks!
dreamlivemeng + 1 + 1 我很赞同!
三胖胖胖 + 1 + 1 用心讨论,共获提升!
o不懂爱的魂o + 2 + 1 用心讨论,共获提升!
chinajxw + 1 + 1 用心讨论,共获提升!
monkey1314 + 1 + 1 我很赞同!
wyy81061 + 1 + 1 我很赞同!
yuweb + 1 + 1 用心讨论,共获提升!
ljs_winter + 1 + 1 谢谢@Thanks!
zyxm2013 + 1 + 1 我很赞同!
cuizb2583 + 1 + 1 我很赞同!
夜森 + 1 我很赞同!
dsb2468 + 2 + 1 不错不错
汉庭劶 + 1 + 1 谢谢@Thanks!
诗木 + 1 + 1 用心讨论,共获提升!
516234141 + 1 + 1 谢谢@Thanks!
wanfon + 1 + 1 谢谢@Thanks!
lookerJ + 1 + 1 用心讨论,共获提升!
wapjb + 1 + 1 谢谢@Thanks!
Levio + 1 + 1 谢谢@Thanks!
quanhao1993 + 1 + 1 谢谢@Thanks!
nssan + 1 + 1 谢谢@Thanks!
cafxz1 + 1 + 1 热心回复!
jin866 + 1 + 1 用心讨论,共获提升!
w731883875 + 1 + 1 看见要下载器的一律不下载
goinfor2008 + 1 + 1 谢谢@Thanks!
冰雪冬樱250 + 1 + 1 用心讨论,共获提升!
silencebubble + 1 + 1 谢谢@Thanks!
三千十三 + 1 + 1 谢谢@Thanks!
jxche230 + 1 + 1 谢谢@Thanks!
www.52pojie.cn + 1 + 1 谢谢@Thanks!
ACERC + 1 + 1 谢谢@Thanks!
lotusdance + 1 + 1 谢谢@Thanks!
詺哥 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

0x3e5 发表于 2019-10-28 18:59
netpipe  网管???这蹩脚的英语 - -
沙鱼 发表于 2019-10-28 18:26
多特就不是什么好货,十几年前就发现它的文件带料,弃用至今,依然助纣为虐。这个网站可以永久拉黑了。
丿终结者 发表于 2019-10-28 18:48
很烦这种自带下载器的 一般宁愿换其他地方再找找
a1545515 发表于 2019-10-28 18:19
学习一下谢谢
风陨 发表于 2019-10-28 18:26
厉害了,学习学习
cdwdz 发表于 2019-10-28 18:27
学习了  还真得提高警惕   谢谢  谢谢
xiaoyaoming006 发表于 2019-10-28 18:29
多特原来还是很不错的!哎,飘了飘了
kookisi 发表于 2019-10-28 18:30
谢谢楼主分享,学习到了
lotusdance 发表于 2019-10-28 18:31
谢谢楼主
月落123 发表于 2019-10-28 18:37
多特可以拉黑了,以前常用的,也毁了
whw0623 发表于 2019-10-28 18:43
  毒霸如何查看到他的内部访问的统计页的,其他域名都显示出来了,为什么不把后台的域名显示出来
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:04

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表