吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13586|回复: 100
收起左侧

[PC样本分析] PDF转换器投放木马 将用户终端变为获利工具

  [复制链接]
火绒安全实验室 发表于 2021-2-9 18:53
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2021-2-9 19:01 编辑

【快讯】
根据“火绒威胁情报系统”监测,火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代{过}{滤}理模块,正主要通过下载站下载器全网静默推广。该代{过}{滤}理模块可以在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,变得卡顿。目前,该恶意软件仅单日侵扰用户量就达数万,请大家小心防范。火绒最新版(个人版、企业版)可及时拦截、查杀上述恶意代{过}{滤}理模块,且不影响软件正常功能,用户可放心使用。


Image-4.png

火绒工程师分析发现,即使用户卸载“奇客PDF转换器”,其恶意代{过}{滤}理模块也不会被随之删除,而是作为系统服务,开机自启,达到永久驻留在用户电脑中的目的。此外,我们还发现了若干版本的“奇客PDF转换器”与其释放的恶意代{过}{滤}理模块,但无论是何种版本的恶意模块,其功能代码都极为相似。

通常,黑客可以使用代{过}{滤}理模块将用户的终端设置为代{过}{滤}理服务器,并通过占用用户终端的网络和计算资源,来进行爬取网站信息、网络攻击等行为。如此一来,即便被入侵的一方发现攻击并进行溯源,也只会看到被设置为代{过}{滤}理服务器的用户终端地址,而真正的攻击者便可以借此躲避追查。

值得一说的是,火绒工程师进一步溯源发现,“奇客PDF转换器”安装包及其释放的恶意代{过}{滤}理模块所属为同一公司,且该公司旗下网站主要经营流量代{过}{滤}理服务。因此,不排除该企业利用上述恶意代{过}{滤}理模块控制用户电脑成为代{过}{滤}理服务器,并进行售卖盈利的可能。

这也与我们此前发现并分析的“流星加速器”携带恶意代{过}{滤}理模块事件近乎一样,由此也可以看出,恶意代{过}{滤}理模块正在被广泛的投入商业化使用中,并威胁用户安全。对此,火绒在帮助用户拦截此类威胁的同时,也再次提醒大家小心防范。

附:【分析报告】
一、 详细分析
近期,火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高,且如下进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。经分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。该恶意软件与先前分析过的流星加速器类似(“流星加速器”恶意投毒控制用户电脑 恐用于商业牟利),都是通过下载站下载器进行静默传播推广。在该恶意软件安装过程中会释放恶意代{过}{滤}理模块到%appdata%\tx目录。即使用户卸载奇客PDF转化器,恶意代{过}{滤}理模块也不会随之删除,而是作为系统服务,开机自启,永久的驻留在用户电脑之中。虽然不同版本的奇客PDF转换器释放的恶意代{过}{滤}理模块名称不同,但是功能代码极为相似,下文以svchost.exe分析说明。相关运行流程如下图所示:


Image-5.png

运行流程图


奇客PDF转化器运行后,会在用户%appdata%目录下创建tx文件夹,将相关代{过}{滤}理模块释放于其中。随后运行start.bat脚本,该脚本根据用户电脑的.NET环境来决定运行Start2.0.exe还是Start4.0.exe。Start2.0.exe/Start4.0.exe运行之后会遍历系统服务,如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。相关代码如下图所示:



Image-6.png

检测系统.NET环境并运行Start2.0.exe/Start4.0.exe

Image-7.png

检测SDRSVC_93c83服务运行状态


svchost.exe运作之后会将自身注册为服务并启动运行,相关代码如下图所示:


Image-8.png

svchost.exe注册为系统服务



Image-9.png

系统服务运行信息


随后svchost.exe连接hxxp://pr.qikels.com:301/GetIpPort和hxxp:// pr.qikels.com:301/GetIpPortzhima获取远程代过滤理服务器IP及端口信息。相关代如下图所示:


Image-10.png

获取远程代过滤理服务器信息


成功获取远程代{过}{滤}理服务器信息后,svchost.exe便会接收远程代{过}{滤}理服务器下放的目标网址数据包并访问,最后将结果数据包进行回传。相关流量数据包如下图所示:


Image-11.png

Wireshark抓包情况


svchost.exe还会收集用户电脑环境信息发送至111.229.195.75:8102/insideapi/saveInstallLogV2,相关数据如下图所示:


Image-12.png

用户电脑环境信息


同时,我们在svchost.exe里还发现了云控AdWinfrom.exe模块开启的相关代码。AdWinfrom.exe模块目前暂未发现,不排除后续奇客PDF版本转换器将其释放的可能性。相关代码如下图所示:


Image-13.png

云控AdWinfrom.exe模块开启


二、 溯源分析
经过溯源分析发现,奇客PDF转换器安装包及其释放的恶意代{过}{滤}理模块svchost.exe的均来自于 “杭州至流科技有限公司”。签名信息如下图所示:


Image-14.png

奇客PDF转化器安装包签名信息



Image-15.png

svchost.exe签名信息


经查询发现,杭州至流科技有限公司旗下网站“至流软件”(hxxp://www.zhuzhaiip.com)主要经营流量代过滤理服务。相关信息如下图所示:

Image-16.png

至流科技备案网站信息



Image-17.png

至流软件网站首页信息


根据公司信息检索结果,我们得知杭州至流科技有限公司主要人员中包括洪某和伍某。相关信息如下图所示:


Image-18.png

杭州至流科技有限公司主要人员信息


通过对奇客PDF转换器所使用的域名(hxxp://www.qikels.com)进行溯源后,我们发现该软件所属公司(苏州奇客乐思网络科技有限公司)中主要人员也同样出现了洪某和伍某。相关信息如下图所示:


Image-19.png

苏州奇客乐思网络科技有限公司主要人员信息


三、 附录
病毒hash


Image-20.png

免费评分

参与人数 60吾爱币 +48 热心值 +54 收起 理由
fishyangni + 1 谢谢@Thanks!
Dalek + 1 我很赞同!
StaCk0VeRfl0W + 1 我很赞同!
惜MC + 1 + 1 我很赞同!
腰围两尺99 + 1 + 1 用心讨论,共获提升!
fgylh + 1 + 1 我很赞同!
liliqingchuan + 1 + 1 我很赞同!
YouLii + 1 + 1 谢谢@Thanks!
traco + 1 我很赞同!
空城吖 + 1 + 1 我很赞同!
bug214136 + 1 谢谢@Thanks!
32154678925 + 1 + 1 热心回复!
chermy + 2 + 1 缺德
进击的喵星人 + 1 我很赞同!
1487328477 + 1 我很赞同!
mingxiaoyong + 1 + 1 我很赞同!
csmxrx + 1 我很赞同!
吾爱咖啡 + 1 谢谢@Thanks!
黑色小星星 + 1 + 1 用心讨论,共获提升!
Chlrun + 1 + 1 我很赞同!
lcylcylcy + 1 + 1 谢谢@Thanks!
仰望空调的兔子 + 1 + 1 我很赞同!
Shandahua + 1 + 1 谢谢@Thanks!
Ouyang520 + 1 用心讨论,共获提升!
西去的骑手 + 1 + 1 谢谢@Thanks!
w2xqq + 1 谢谢@Thanks!
momodebushuo + 1 我很赞同!
起个名有点难 + 2 + 1 用心讨论,共获提升!
yolre + 1 我很赞同!
阿猹 + 1 热心回复!
ygfly + 1 + 1 谢谢@Thanks!
RoundWaltz + 1 用心讨论,共获提升!
壹白 + 1 + 1 谢谢@Thanks!
owengolfman + 1 + 1 热心回复!
blindcat + 1 + 1 谢谢@Thanks!
yumin004 + 1 + 1 谢谢@Thanks!
第十三 + 1 + 1 我很赞同!
哇zz + 1 热心回复!
羽刃 + 1 这家公司的两个人犯法吗?
斯文d狼 + 1 谢谢@Thanks!
fuanvl + 1 + 1 我很赞同!
清水心跳 + 1 + 1 谢谢@Thanks!
QRQF001 + 1 我很赞同!
zxc123Qwe789 + 1 + 1 热心回复!
www.52pojie.cn + 1 + 1 维护正义就靠火绒了
visaction + 1 谢谢@Thanks!感谢揭露真相。
konbar + 1 + 1 干的漂亮
吃土不忘剁手人 + 1 我很赞同!
联盟少侠 + 2 + 1 这就牛逼了,建议举报,向公安机关举报
love61828314 + 1 + 1 谢谢@Thanks!
风冯讽凤 + 1 + 1 火绒niub
RemMai + 1 + 1 不懂就问。这家公司的两个人犯法吗?
Dawned + 1 + 1 火绒nb
程晨 + 1 + 1 我很赞同!
blywq + 1 + 1 谢谢@Thanks!
我忘多 + 1 + 1 谢谢@Thanks!
Hony06 + 1 谢谢@Thanks!
Pau250 + 2 + 1 谢谢@Thanks!
凌晨2010 + 1 + 1 谢谢@Thanks!
肥猫警长 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

风之暇想 发表于 2021-2-9 18:57
等火绒出大公司的揭底
Pau250 发表于 2021-2-9 19:05
anwen 发表于 2021-2-9 19:16
qq2003 发表于 2021-2-9 19:09
多多曝光此类文件及个人特别是企业。
WoShiXXX 发表于 2021-2-9 19:09
这熟悉的背景,用的dnSpy吧,软件的开发者也不开个混淆。。。
dy20181111 发表于 2021-2-9 19:22
加油😊
klxn0-0 发表于 2021-2-9 19:26
火绒还是那个火绒
weihe 发表于 2021-2-9 19:30
把这个公司投诉抓了
那年夏天52 发表于 2021-2-9 20:01
火绒牛逼
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表