吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 22170|回复: 92
收起左侧

[PC样本分析] 点击器木马“舟大师”暗刷流量 利用“肉鸡”操纵搜索结果

  [复制链接]
火绒安全实验室 发表于 2019-12-31 00:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】近日,有企业用户向火绒安全团队求助,称电脑CPU、带宽无缘无故占用变高,电脑出现发热、变慢等现象。火绒工程师远程查看后,在用户电脑中发现一组暗刷木马造成上述现象。经溯源发现是来自一款名为“舟大师”的程序携带点击器木马,目前火绒已对该其进行拦截查杀。
Image-4.png

根据火绒工程师分析显示:1、该软件在未经过用户同意的情况下,进行默认安装;2、安装后默认执行开机自启,在没有任何提示的情况下,根据云控指令通过隐藏浏览器窗口暗刷特定搜索词;3、该软件没有卸载程序,普通用户无法卸载。上述行为均在用户完全不知的情况下完成,符合安全厂商对点“点击器木马(TrojanClicker)”的定义。具体分析请见文章后附的【分析报告】。

随后,一名自称“舟大师”相关技术人员联系我们表示火绒对该软件为“误报”,并在与火绒工程的沟通中不断表示其软件经由国内某安全厂商“审核”过白,询问火绒是否可以为其“网开一面”。对此,我们表示火绒不存在所谓的过白流程,对于符合恶意程序或软件的行为都会及时拦截查杀。同时,我们也相信任何一家安全厂商也不会为病毒 敞开大门。

Image-5.png

事实上,诸如此类静默安装、暗刷流量等损害用户的恶意行为,火绒早已有过类似的报道(详见下方链接),我们也明确表示,对于任何符合恶意行为的程序、软件,火绒都将持续拦截查杀。同时,我们也呼吁广大软件厂商,在逐利的同时,要坚守行业操守,维护用户权益,谋求长远发展。最后,火绒提醒广大用户,切勿轻易下载、点击不明来历的软件,并安装合格的安全软件,如果对报毒结果有疑问,应第一时间联系安全厂商解决,避免受到危害。

相关链接:
https://www.huorong.cn/safe/1562219180288.html
商业软件暗藏后门病毒 疯狂扒取阿里、微信上的注册企业信息
 
一、        详细分析
近期,火绒接到用户反馈,称在不知情的情况下被静默安装了一款名为MasterZ的“软件”,且未在控制面板中找到相应卸载项,该“软件”每次开机都会自动启动,运行后会造成CPU高占用。随后我们通过溯源,找到了该软件的安装包,发现安装过程中不会产生任何提示,且在安装完成后不会产生卸载项,安装目录中也不存在卸载程序。MasterZ安装包文件信息,如下图所示:

Image-6.png
安装包文件信息
经过分析,我们发现MasterZ为点击器木马,该木马会创建隐藏IE窗体,通过云控下发的配置数据在搜索引擎中搜索关键字,以提升指定网址链接的搜索引擎排名,并爬取网页快照回传至C&C服务器。该木马还可以根据云控配置执行注册启动项、上传日志、上传页面快照、上传指定目录等操作。相关恶意行为执行流程,如下图所示:

Image-7.png
恶意行为执行流程
开机自启后,该木马会自动执行点击任务。相关动作日志,如下图所示:

Image-8.png
通过指定搜索引擎搜索关键字

Image-9.png
保存搜索页面快照
根据相关C&C服务器域名,我们溯源到了名为舟大师的软件官网。页面中描述,其软件主要用于SEO优化排名。网站页面,如下图所示:

Image-10.png
舟大师官网

刷高搜索引擎排名
该木马会根据C&C服务器返回的云控配置,刷高指定网址链接的搜索引擎排名。该木马启动时会调用配置文件Customize.dat,如果type=1则隐藏界面启动,此参数默认值为1。读取Customize.dat配置文件,如下图所示:

Image-11.png
根据type的值,隐藏窗体。相关代码,如下图所示:

Image-12.png
隐藏窗体

Customize.dat配置文件内容,如下图所示:

Image-13.png
Customize.dat配置内容

之后,MasterZ.exe会调用YunTask.dll模块,开始执行云控任务。YunTask.dll模块初始化会读取YunTask.dat配置文件。配置文件内容中包含有不同的任务服务器地址,如下图所示:

Image-14.png
YunTask.dat配置内容

加载配置文件的相关代码,如下图所示:

Image-15.png
加载YunTask.dat配置

YunTask.dll会通过C&C服务器地址(如:kwdapi.sumszw.com)请求搜索关键字数据。请求链接,如下图所示:

Image-16.png
部分请求链接

构造C&C服务器请求地址,发送请求数据相关代码,如下图所示:
Image-17.png

构造C&C服务器请求地址,发送请求数据

Image-18.png
构造请求数据



向C&C服务器发送任务请求数据后,可以获取到任务相关的搜索关键字数据(由于数据较长仅以部分数据为例),如下图所示:

Image-19.png
服务器返回数据

关键字数据需要进行解密,解密后的关键字数据,如下图所示:

Image-20.png
解密后的关键字数据

在获取到关键字数据之后,该木马会调用UpdateRank.exe执行搜索引擎排名提升操作。相关代码,如下图所示:

Image-21.png
调用UpdateRank.exe刷搜索引擎排名

UpdateRank.exe在获取到关键词数据之后,会使用创建隐藏的IE浏览器窗体在调用指定的搜索引擎搜索关键词。相关代码,如下所示:

Image-22.png
创建浏览器窗体
为了提高浏览器窗体的隐蔽性,木马会调用SetWindowHookExW设置钩子,过滤掉浏览器中产生的警告消息。相关代码,如下图所示:

Image-23.png
调用SetWindowHookExW相关代码

之后UpdateRank.exe会加载搜索引擎相关配置,在刷高搜索引擎排名时,会根据配置文件中提供的搜索模式拼接搜索请求链接。配置数据,如下图所示:

Image-24.png
搜索引擎配置

SiteList.txt配置中存放有需要被提升排名的链接域名,在UpdateRank.exe获取到关键词数据后会与SiteList.txt相关链接进行匹配,帮助指定网址链接刷高搜索引擎排名。相关代码,如下图所示:

Image-25.png
加载、分解SiteList.txt配置文件

SiteList.txt配置内容,如下图所示:

Image-26.png
SiteList.txt配置内容

在UpdateRank.exe刷高浏览器排名的同时会保存搜索引擎结果页面,并对名中的搜索条目进行加亮,相关页面会被回传到C&C服务器(hxxp:// 157.255.170.218)。保存后的搜索引擎页面,如下图所示:

Image-27.png
保存后的搜索引擎页面(百度)

Image-28.png
保存后的搜索引擎页面(360搜索)
上述链接均为“环亚昊天(北京)人力资源顾问有限公司”官网链接,且与文中之前提到的搜索关键词配置数据相同。点击上述链接后跳转页面,如下图所示:

Image-29.png
点击上述链接后跳转页面

执行云控指令
YunTask.dll模块还可以连接服务器读取、执行云控指令。可执行的云控指令包含有设置自启项、上传页面快照、上传指定目录等操作。云控服务器地址存放在YunTask.dat配置文件ConnectUseUdp项中。配置文件,如下图所示:

Image-30.png
云控指令地址配置

读取云控指令地址相关代码,如下图所示:

Image-31.png
读取云控指令服务器地址

云控指令分发相关代码,如下图所示:

Image-32.png
分发云控指令

设置自启项相关云控指令执行代码,如下图所示:

Image-33.png
设置开机自启项

二、        附录
样本hash
Image-34.png

点评

360交费就能加白?楼主的签名图挂了  发表于 2019-12-31 14:40

免费评分

参与人数 52吾爱币 +46 热心值 +49 收起 理由
18905474592 + 1 + 1 我很赞同!
Sanstyle01 + 1 谢谢@Thanks!
Mouse025 + 1 + 1 用心讨论,共获提升!
恶搞大王 + 1 + 1 谢谢@Thanks!
lyslxx + 1 + 1 我很赞同!
tao2017 + 1 + 1 谢谢@Thanks!
dxww + 1 + 1 谢谢@Thanks!
世俗红尘 + 1 + 1 热心回复!
wx9265661 + 1 + 1 谢谢@Thanks!
cyw11211 + 1 要弄木马病毒悄悄不行,非要把用户电脑资源占完
考拉熊 + 1 + 1 谢谢@Thanks!
独行风云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
monsterbaby521 + 1 + 1 谢谢@Thanks!
626351152 + 1 + 1 我很赞同!
LGDKS + 1 + 1 我很赞同!
diwang2580 + 1 + 1 谢谢@Thanks!
kppp888q + 1 + 1 我很赞同!
10101010 + 1 + 1 就需要火绒这么刚的杀毒软件,支持
thinkpad_420 + 1 + 1 热心回复!
aaaak + 1 + 1 那句, 以前我们产品360也老报毒 ,你品你细品,说明360牛逼啊 早发现问题了,.
shun丶sir + 1 谢谢@Thanks!
宽宽天下 + 1 谢谢@Thanks!
zhangjingkai123 + 1 谢谢@Thanks!
qidians + 1 + 1 那么这种行为是否违法,有关部门管吗
Higher-Stark + 1 热心回复!
zyh666 + 1 + 1 谢谢@Thanks!
ZoeLewis + 1 + 1 我很赞同!
忆魂丶天雷 + 1 + 1 支持火绒
lost_in_memory + 1 + 1 我很赞同!
MaxMadcc + 1 热心回复!
canghx + 1 + 1 我很赞同!
大禹、 + 2 + 1 我很赞同!
comicc + 1 + 1 用心讨论,共获提升!
pojielover + 1 + 1 大神辛苦了!谢谢!
劣酒先生 + 1 + 1 热心回复!
冼星海ksv + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
羊肉串 + 1 + 1 果断卸载电脑上的360,换成火绒。回家把家人的也都换成火绒
pangxiang + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
shuiyu + 1 谢谢@Thanks!
dongmie + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yunruifuzhu + 1 + 1 原理清晰,又是一条发财路
hotbone + 1 + 1 我很赞同!
ArnoD + 1 + 1 用心讨论,共获提升!
hhggbf + 1 + 1 谢谢@Thanks!
ZhaoYing + 1 + 1 谢谢@Thanks!
玄冥岚 + 1 + 1 谢谢@Thanks!
sdaza + 1 热心回复!
Terrorist + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
vikin + 1 + 1 鼓励转贴优秀软件安全工具和文档!
menghun + 1 + 1 谢谢@Thanks!
zhangjun123 + 1 谢谢@Thanks!
千城忆梦 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

1983 发表于 2019-12-31 00:32
看开头,当新闻,中间的没看懂,,,,
yifazhi 发表于 2019-12-31 08:27
庞晓晓 发表于 2019-12-31 07:41
360收保护费就不查杀了,明白了。
原来被360误报的都是没打招呼啊

所以说,数字对于病毒的评判标准是有没有交保护费。。。。
yeziye 发表于 2019-12-31 00:15
Zihao88 发表于 2019-12-31 00:29
很厉害的大佬,支持一下!
qqvcd010 发表于 2019-12-31 00:34
感谢分享
lc5715232 发表于 2019-12-31 00:37

火绒厉害了,一直都是用火绒
zjglsj 发表于 2019-12-31 01:16
支持火绒!
泥泥的泥泥 发表于 2019-12-31 01:29
支持火绒,火绒牛逼
老何i 发表于 2019-12-31 01:55
支持火绒!
晴天薄雨荷 发表于 2019-12-31 02:00
支持火绒  及时帮用户发现问题
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表