吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 36864|回复: 151
收起左侧

[PC样本分析] 商业软件暗藏后门病毒 疯狂扒取阿里、微信上的注册企业信息

    [复制链接]
火绒安全实验室 发表于 2017-11-14 19:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2017-11-15 11:21 编辑

一、概述
近日,火绒安全团队发现某商业企业旗下的多款软件携带后门病毒"Backdoor/Jspider"。该病毒会将被感染电脑当作"肉鸡",用来扒取阿里巴巴、微信等平台上的企业相关信息,同时在搜索引擎上刷排名。
据火绒安全团队分析,后门病毒"Backdoor/Jspider"通过"榴莲抢票王"、"看美女"、"258商务卫士"等该企业旗下的多款软件进行传播,用户电脑一旦安装上述软件,即会被病毒感染,即使卸载这些软件,病毒依然留在电脑中作恶。
用户电脑沦为"肉鸡"后,会接收远程指令,去访问阿里巴巴(www.1688.com)、清博大数据(www.gsdata.cn)和各大搜索引擎(百度、360、搜狗和中搜),不光扒取阿里巴巴的企业注册信息和交易内容(如贸易共需求信息等),还扒取微信公众号里的各个企业信息,并在搜索引擎上为一些企业和产品刷排名。
上述操控"肉鸡"的种种行为,会大量占用被感染电脑的CPU资源,产生电脑变慢、发热等现象。
火绒安全团队溯源发现,此病毒早在2014年便已出现。该病毒制作者极为谨慎,当检测到电脑中存在"360安全卫士"和"腾讯电脑管家"时,该病毒将不会下载安装。
"火绒安全软件"最新版可彻底查杀该病毒,请广大用户下载使用。

二、样本分析
火绒近期发现,多款安装包签名信息为"厦门书生天下软件开发有限公司"的软件会在用户不知情的情况下,下载执行远程服务器请求到的二进制文件及一组JavaScript脚本,该组程序用于爬取企业信息及给定的关键字相关数据(爬取对象包括阿里巴巴1688.com、清博大数据gsdata.cn、百度搜索、360搜索、搜狗搜索和中国搜索)。
不仅如此,在卸载软件后,该组程序依然会常驻于用户计算机中,消耗CPU计算能力,与利用用户电脑挖取比特币的后门病毒本质相同。当同时执行的计算任务较多时,甚至会影响用户对电脑的正常使用。因此,火绒将该组程序定性为后门病毒。以软件"看美女"为例,如下图所示:

1病毒执行进程树.png

病毒执行进程树


2CPU占用情况.png
CPU占用情况

该组病毒最主要的两个模块,一个模块名字通常为"*Loader.exe"(*代表任意字符,如上图中为MeinvSearcherLoader.exe,下文中简称为Loader模块),另一个模块通常为"*Service.exe"(下文中简称为Service模块)。Loader模块为该组恶意软件的启动器,如果环境中不存在该组病毒的其他组件,该程序可以从远程C&C服务器请求病毒的其他组件至本地进行部署。Service模块则为PhantomJS无界面浏览器,通过调用Domino.js可以从远程C&C服务器获取任务脚本加载到Service中进行执行。
该组恶意程序执行流程,如下图所示:


3恶意代码执行流程.png
恶意代码执行流程

恶意软件的关键逻辑如上图所示,安装包首先会释放出"看美女"软件主程序"kanmeinv.exe",再由主程序从远程C&C服务器下载Loader模块到本地对该组恶意软件进行部署执行。Loader运行后先会将自身注册自启动,之后下载nssm.exe、node.exe、一组脚本(包括Bootstrap.js、Domino.js、其代码中使用的JavaScript库模块)及其配置文件。node.exe为NodeJS主程序。nssm.exe为服务管理程序,Loader通过调用nssm.exe将node.exe调用Bootstrap.js脚本的命令行加入到nssm.exe的启动列表中,开机后Bootstrap.js脚本就会被调用执行。Bootstrap.js逻辑主要用于监控Loader和Service进程状态,如果进程不存在则会进行创建。Loader进程启动后,会使用Service调用Domino.js执行远程C&C服务器派发的任务。


下面我们针对该组病毒中最主要的两个JavaScript脚本进行详细分析。

Bootstrap.js
Bootstrap.js模块主要用于该组病毒的运行监控和组件更新。当Loader和Service进程未启动时,则会使用指定参数启动Loader和Service进程,该逻辑既可以用于监控运行状态,也可以用于作为Loader和Service模块的启动器。如下图所示:


4进程监控及启动.png
进程监控及启动

除了启动Loader和Service模块外,该脚本还会对病毒组件进行更新,如果远程C&C服务器中存在更新版本则会执行更新逻辑。相关逻辑如下图所示:


5病毒组件更新代码.png

病毒组件更新代码


Domino.js
Domino.js在被调用时,首先会检测360安全卫士和腾讯电脑关键进程,如果存在则不会对病毒组件进行部署。之后再检测nssm.exe进程是否存在,如果存在则说明病毒组件已被部署,不再执行部署逻辑。如下图所示:


6病毒部署逻辑.png
病毒部署逻辑

病毒最主要的逻辑则是从远程C&C服务器(hxxp:// 120.55.89.149:8066/ws?token=&mac=***&ver=309&platform=kmv&pigExe=&phantomVer=4&ocrVer=undefined&os=***,*代表的是本地获取到的数据)获取并执行任务脚本。
Domino.js会每隔30秒会向服务器发送消息尝试获取任务,在发送给服务器的消息中记录了当前系统的内存信息和当前等待执行的任务数量,服务器会根据收到的信息来派发任务。相关逻辑如下图所示:


7获取任务逻辑.png
获取任务逻辑

任务数据如下图所示:


8任务数据.png
任务数据

在获取任务数据之后,根据act属性从远程C&C服务器获取任务脚本,获取链接如:hxxp://static.duominuo.com/task/bd_search_pos_swws.js。获取到的任务有很多种,主要的任务内容如下图所示:


9任务内容.png
任务内容

这些脚本执行逻辑相同,以下以pdc_wechat.js和pdc_b2b_contacts.js为例。

pdc_wechat.js
pdc_wechat.js首先通过"hxxp://pdc.weimao.com:9901/client/com/hack?type=任务类型&rand=随机数"获取当前任务需要搜索关键字。如下图所示:


10获取搜索关键字.png
获取搜索关键字

获取到的搜索关键字数据,如下图所示:


11搜索关键字数据.png
搜索关键字数据

在获取到关键字之后,再通过gsdata.cn 获取与关键字相关的微信信息,如微信号、认证信息等。代码逻辑,如下图所示:


12获取微信信息.png
获取微信信息

pdc_b2b_contacts.js
pdc_b2b_contacts.js会通过1688.com获取公司地址,主营产品,所在地区等企业相关信息。代码如下图所示:


13获取企业信息.png

获取企业信息


数据用途

在258商务卫士中,我们找到了可能引用上述数据的相关功能模块。如下图所示:


14关键字数据.png
关键字数据


15关键字内容.png
关键字内容

引用微信数据的相关功能模块,如下图所示:


16引用微信数据功能.png

引用微信数据功能

三、溯源分析
现阶段火绒发现,带有该组病毒的软件安装包有"看美女"、"榴莲抢票王"和"258商务卫士"。相关安装包文件信息,如下图所示:


17安装包文件信息.png

安装包文件信息

上述软件签名时间最早的258商务卫士可追溯至2014年,在最新版的258商务卫士中主程序中也存在与前文所述病毒相关的数据。最新版258商务卫士文件信息,如下图所示:


18文件信息.png

文件信息

与前文所述的病毒模块相关数据,如下图所示:


19与病毒模块相关数据.png

与病毒模块相关数据

四、附录
文中涉及样本SHA256:

附录.png

点评

大神就是厉害 直接逆向出来  发表于 2019-2-15 02:22

免费评分

参与人数 67吾爱币 +68 热心值 +70 收起 理由
li99774 + 1 + 1 谢谢@Thanks!
飞鸽传书 + 1 + 1 用心讨论,共获提升!
fuxiange + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
夏末moent + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ywsmart + 1 + 1 热心回复!
宇智波V7 + 1 + 1 我很赞同!
坏灰灰 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
geek_NO1 + 1 + 1 我很赞同!
onexiao + 1 + 1 谢谢@Thanks!
f88u8 + 1 + 1 谢谢@Thanks!
美如夏花2017520 + 1 + 1 我很赞同!
云深不知处 + 1 + 1 热心回复!
Nickdlk + 1 我很赞同!
Leimax + 1 + 1 我很赞同!
雨濄添情 + 1 + 1 谢谢@Thanks!
godczj + 1 + 1 谢谢@Thanks!
bobo蚂蚁 + 1 + 1 谢谢@Thanks!
1572447946 + 1 + 1 谢谢@Thanks!
nh19920408 + 1 + 1 66666666666666
nanmobei + 1 + 1 我很赞同!
小信 + 1 + 1 我很赞同!
江城 + 1 + 1 热心回复!
hotwater10 + 1 + 1 谢谢@Thanks!
都同学 + 1 + 1 用心讨论,共获提升!
zzzLucas + 1 + 1 谢谢@Thanks!
fengyingchun + 1 + 1 我很赞同!
liangfuyin + 1 + 1 我很赞同!
girllovecs2011 + 1 + 1 热心回复!
nande77 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
iNIC + 1 + 1 谢谢@Thanks!
sunnylds7 + 5 + 5 我很赞同!
fanite + 1 这公司太无良了
one486 + 1 热心回复!
zhangjianfei + 1 + 1 我很赞同!
天下客 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
夏汉森 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
gsl27 + 1 + 1 热心回复!
小蚂蚁哈哈乐 + 1 + 1 热心回复!
疯狂醉虎 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
maskuang + 1 + 1 谢谢@Thanks!真是胆包天,居然明目张胆。
像夏花一样绚烂 + 1 + 1 谢谢@Thanks!
5乐知 + 1 + 1 热心回复!
北风之神 + 1 + 1 用心讨论,共获提升!
A.谭先生 + 1 + 1 用心讨论,共获提升!
有故事的人 + 1 谢谢@Thanks!
日后再说、 + 1 + 1 谢谢@Thanks!
守护神艾丽莎 + 1 + 1 谢谢@Thanks!
战歌酒吧 + 1 + 1 谢谢@Thanks!
浣熊 + 1 + 1 用心讨论,共获提升!
wksbb + 1 + 1 我很赞同!
l7518597 + 2 + 1 一直在用火绒
snccwt + 1 + 1 热心回复!
今夕何兮 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
commitl + 1 + 1 为火绒疯狂打电话。。。
yuanshaoai0 + 1 + 1 热心回复!
OpenIt + 1 + 1 谢谢@Thanks!
哈喽,你好 + 1 + 1 谢谢@Thanks!
kingzuo + 1 + 1 火绒6666666
小红 + 1 + 1 加油,一直在用火绒
fisher + 1 + 1 厉害了我的火绒大光头们!从14年开始一直用,就是这么舒hu
ZAOSHANGHAO + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
广州最 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a5606495 + 1 + 1 谢谢@Thanks!
fan冬天的秘密 + 1 + 1 谢谢@Thanks!
w250550 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
no_one + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

181842 发表于 2017-11-14 20:00
‘通过"榴莲抢票王"、"看美女"、"258安全卫士"等该企业旗下的多款软件进行传播’这说明什么?说明只有那些有歪心思的人才会中毒,若是心无杂念不动歪心思的人很少会中。

点评

这个说法不同意。当好多人买不到票的时候,都会走投无路地使用抢票软件  发表于 2017-11-15 13:05
吾爱豆腐渣 发表于 2017-11-14 19:12
lee是我大哥 发表于 2017-11-14 19:12
noah88 发表于 2017-11-14 19:29
一直用火绒的路过
ggsq 发表于 2017-11-14 19:30
牛。。。。。。。。。。。。。。
鱼塘小猎人 发表于 2017-11-14 19:36 来自手机
牛逼牛逼……马可三年
拆里月华 发表于 2017-11-14 19:42
厉害厉害, 给大牛顶帖
sbjjyy88 发表于 2017-11-14 19:50
没听说过还有这么一杀毒软件。。。。。。
njdo 发表于 2017-11-14 19:51 来自手机
果然是大神
好霸 发表于 2017-11-14 19:56
厉害了 大神
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表