吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 26253|回复: 125
上一主题 下一主题
收起左侧

[PC样本分析] 暴风等知名软件广告页遭“挂马攻击”十多万用户被病毒感染

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2018-4-13 20:10 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2018-4-13 20:14 编辑

一、概述
4月13日消息,火绒安全团队发出安全警报,国内多家知名软件、网站的广告页面遭到病毒团伙的“挂马攻击”。用户访问该页面,即会触发浏览器漏洞,导致病毒代码被自动激活。根据“火绒威胁情报系统”监测和评估,短短两三天内,被感染用户数量已经超过10万,其中暴风影音用户受影响最大,占比近八成。广大火绒用户无需担心,“火绒安全软件”无需升级即可防御此次攻击。

火绒工程师分析,此次事件是通过IE浏览器漏洞 CVE-2016-0189传播,受影响的版本为IE9-IE11,也就是说这些版本的IE用户,运行被攻击的软件或者网站时,其电脑都会被感染病毒“Tridext”。

病毒团伙将恶意代码植入到广告页中(例如:“美女直播秀”),只要推广该广告的网页和客户端软件(例如暴风影音、WPS、风行播放器等)都会遭到挂马攻击。该广告弹出后,用户即使不做任何操作,其电脑也会立即被感染病毒“Tridext”。病毒入侵电脑后,会篡改网银转账信息,并且可以随时通过后门远程操控用户电脑,进行其他破坏行为。此外,该病毒还会利用用户电脑疯狂“挖矿”;以及强行将用户添加到一个QQ群中,并禁止退群、举报等操作。但是火绒用户无需担心,火绒用户完全不受影响。“火绒安全软件”的【系统加固】-【隐藏执行可疑脚本】功能可以在无需升级的情况下可彻底防御此次攻击。

二、详细分析

近期火绒截获到一组通过挂马方式传播的漏洞利用样本,暂时火绒发现的最大的传播途径是通过在暴风影音广告中挂马的方式进行传播。在无需更新病毒库的情况下,火绒“系统加固”功能即可对该病毒的漏洞利用所产生的恶意行为进行拦截。如下图所示:

火绒“系统加固”功能拦截

漏洞利用相关网址,如下图所示:


漏洞利用相关网址


火绒在已经对本次被挂马的广告页面链接添加了恶意网址拦截策略。被挂马的广告页面,如下图所示:

被挂马的广告页面

漏洞被触发后会在远程C&C服务器地址(hxxp://222.186.3.73:8591/wp32@a1edc941.exe)下载执行下载器病毒,该下载器病毒则会下载执行三个不同的病毒模块。下载器病毒相关数据,如下图所示:

下载器病毒相关数据

下载器病毒所使用的下载地址,如下图所示:

下载器病毒所使用的病毒下载地址

下载器病毒所下载三个病毒样本分别会执行不同的病毒逻辑,不同病毒模块与所对应的病毒功能描述,如下图所示:

病毒对应功能

107.exe该程序执行后会通过访问远程C&C服务器地址(hxxp:// yunos.xueliwu.com/HostR/HostR)请求到动态库数据,之后将数据写入到当前目录名为“security_e66bf5.dll”的文件中。107.exe会将该动态库数据注入到QQ.exe进程中。动态库被注入后,会强行使用当前用户登录的QQ强行添加指定QQ联系人或将用户QQ加入到指定的QQ群中。强行添加QQ联系人相关代码,如下图所示:

强行添加QQ联系人

将用户QQ加入到指定QQ群相关代码,如下图所示:

强行添加QQ群

除此之外,动态库中恶意代码还会通过Hook API的方式拦截用户通过QQ举报或者退出QQ群。如下图所示:

Hook API禁止退出或举报QQ群

QQExternal.exeQQExternal.exe会再%windir%\Temp目录下释放出随机名(如:ddxiwuk.dat)驱动文件进行加载,该驱动会最终释放DDoS攻击病毒。DDos病毒首先会先从C&C服务器地址(hxxp:// www.hn45678.com)请求攻击数据,之后对指定地址进行DDoS攻击。相关代码,如下图所示:

DDoS攻击代码

构造空的攻击包进行攻击,相关代码如下图所示:

攻击代码

op.exe首先,op.exe会通过C&C服务器地址(hxxp://storage.duapp.com)请求到一个压缩包,压缩包中包含有4个文件。如下图所示:


压缩包中的文件

解压后会通过指定参数进行调用inst.dll,参数中包含有以十六进制存放的邮箱地址“721767856@163.com”。代码如下图所示:

op.exe相关获取远程inst.dll代码

inst.dll动态库运行会将LiveService.dll注册为服务项进行启动,并下载相关的运行时库。如下图所示:

注册服务并下载运行时库

LiveService.dll启动后会加载LiveLog.DLL动态库运行后会通过远程C&C服务器地址(hxxp://api.ctkj.org)下载执行后门病毒动态库。该后门病毒运行后会下载执行挖矿病毒、远控后门等恶意行为。如下图所示:


下载执行init动态库


三、附录文中涉及样本SHA256:



详细分析报告PDF:http://down4.huorong.cn/doc/report/tridext.pdf

点评

这个是真大佬,膜拜  发表于 2018-4-13 21:00

免费评分

参与人数 65吾爱币 +65 热心值 +60 收起 理由
siuhoapdou + 1 + 1 谢谢@Thanks!
wangkai558 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
不识i + 2 + 1 素质真的低,下面那个
玩机小白丶王 + 1 转发一下就是大佬了???智障吧
luopeng520 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zzzlucas + 1 + 1 谢谢@Thanks!
hwq4787 + 1 + 1 我很赞同!
执念i_ + 1 + 1 我很赞同!
txt + 1 + 1 鼓励转贴优秀软件安全工具和文档!
sensMe + 1 + 1 谢谢@Thanks!
fantasy丶 + 1 + 1 我很赞同!
q3239006 + 1 + 1 我很赞同!
战歌酒吧 + 1 + 1 热心回复!
千里光 + 1 + 1 我很赞同!
Amor + 1 + 1 我很赞同!
氓之嗤嗤 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
山治c + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
liangYP520 + 1 谢谢@Thanks!
唯美美 + 1 我想问的是还可以阻止我退QQ群和举报吗,没听说过
name002 + 1 + 1 膜拜大佬!
han624810 + 1 + 1 谢谢@Thanks!
BBC12345 + 1 + 1 我很赞同!
单纯小学生 + 1 + 1 谢谢@Thanks!
小苏打 + 1 + 1 谢谢@Thanks!
kolanier + 1 + 1 谢谢@Thanks!
windy007 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
10518402 + 1 + 1 我很赞同!
十载北林 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
apan + 1 + 1 谢谢@Thanks!
velo + 1 + 1 我很赞同!
C-ARan + 1 热心回复!
qqwwerty12 + 1 + 1 我很赞同!
寸草三晖 + 1 谢谢@Thanks!
lmdme + 1 + 1 鼓励转贴优秀软件安全工具和文档!
杀杀傻 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
承蒙时光不弃 + 1 + 1 热心回复!
小闲者 + 1 + 1 谢谢@Thanks!
gaohan1 + 1 + 1 我很赞同!
二逼159 + 1 + 1 谢谢@Thanks!
wd1203041 + 1 + 1 用心讨论,共获提升!
oxxo119 + 1 + 1 谢谢@Thanks!
touhoufans + 1 + 1 谢谢@Thanks!
LEMONGO + 1 + 1 用心讨论,共获提升!
wolaipojie + 1 + 1 谢谢@Thanks!
戏言19 + 1 + 1 热心回复!
vince991 + 1 + 1 我很赞同!
gl123456 + 1 i8rq
戒为良药 + 1 + 1 我很赞同!
莫愁前路无知己 + 1 + 1 我很赞同!
qwer007 + 1 + 1 我很赞同!
╰Tang + 1 + 1 谢谢@Thanks!
我是神金币 + 1 + 1 仰慕仰慕
CFL2018 + 1 + 1 热心回复!
夕阳武士 + 1 + 1 我很赞同!
花花小公子w + 1 + 1 真是一个很完美的分析,对于我这个小菜来说做的很好了
酷酷哒崔 + 1 大佬能发现漏洞,我们膜拜呀
正义天下 + 1 + 1 我很赞同!
luoligongzhu233 + 1 + 1 热心回复!
ycsyywl + 1 这是火绒官方的信息 楼主只是转来的https://www.huorong.cn/info/152361964.
wanmei + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
懒惰的上帝 + 2 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
yAYa + 3 + 1 谢谢@Thanks!
龍龖龘 + 1 + 1 膜拜大佬
1204376616 + 1 + 1 都是大佬,膜拜啊
amoxuan + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
巨无霸 发表于 2018-4-13 21:13
电脑luo奔了7年,大风大浪都过来了。电脑,还是luo奔的快!
推荐
Joe.Du 发表于 2018-4-14 16:56
火绒是真的厉害的。应该是国内第一家防御的了。我用的Google Chrome浏览器是不受影响的,那么Microsoft Edge浏览器呢?
沙发
日后再说、 发表于 2018-4-13 20:18
3#
Xw丶小威 发表于 2018-4-13 20:18
希望能够安全上网。。
4#
ganyilu 发表于 2018-4-13 20:19
火绒官人。不是水军不是做广告的。
头像被屏蔽
5#
冷小鑫 发表于 2018-4-13 20:20
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
6#
online20170721 发表于 2018-4-13 20:23 来自手机
提示: 作者被禁止或删除 内容自动屏蔽
7#
hallo520 发表于 2018-4-13 20:29
这年头,能像火绒这么良心的软件不多了
8#
51Tech 发表于 2018-4-13 20:31
反正没我啥事,吃瓜等待真相
9#
打酱油的店小五 发表于 2018-4-13 20:35
真是可怕,暴风都被挂了
10#
linuxprobe 发表于 2018-4-13 20:38
你是在给火绒打广告吧。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:27

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表