吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19980|回复: 47
收起左侧

[转载] 病毒也玩黑吃黑:流氓软件“钱蜜”的悲催

  [复制链接]
bambooslip 发表于 2019-5-8 14:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
背景描述:
近期,毒霸监测到一款DDOS木马的感染量呈现出上升趋势,而同时呈现出相同增长趋势的,还有部分流氓软件。经过溯源分析,我们发现上述2类软件均来自上海奇陆网络科技有限公司的一款叫做“钱蜜省钱助手”的软件。
该软件除了根据云端配置文件,下载推广流氓软件外,还会劫持主页、篡改浏览器收藏夹、盗取QQ的Token在QQ部落发广告,使目标电脑变成肉鸡,进行DDOS攻击。有趣的是,该病毒下载的DDOS木马内部竟还包含一个后门,猜测该DDOS样本是在某个木马生成器中生成的,而生成器的作者又在其内部留下了后门。

技术分析:
该病毒的主要运行流程如下:

当钱蜜安装完成后,会在安装目录释放以下文件:

qm.exe为软件主程序,该程序根据启动参数的不同,激活不同的功能:

若启动参数为/from=qm_azb,则从down.qm188.com/updatecfg2.ini下载配置文件,程序根据配置文件中的标志指令,下载安装不同的文件,以我们当前分析的程序为例,该程序获取到的标志为1,根据这个标志从down.qm188.com/updateall.7z下载得到了一个加密的压缩包文件updateall.7z:

该压缩包经过解密后,解压释放出demo.dll,该文件会继续从down.qm188.com/check.7z下载一个加密的压缩包,包内包含一个lock.dll,该DLL文件封装了针对市面上常见浏览器的劫持修改函数:
而demo.dll则主要执行:
1、 篡改浏览器收藏夹,静默替换收藏项链接
2、 安装浏览器插件
3、 锁定主页为hao.360.cn/?src=lm&ls=n42a7fc6c92

被针对进行篡改的浏览器如下:

在劫持完浏览器之后,还会安装ebuyast40510.exe和MyThirdDemo.exe,前者主是另一个助手类软件,而后者则会根据云端test.ini的配置文件,下载运行:ServiceDemo.exe、ServiceSecondDemo.exe、ServiceThirdDemo.exe,这三个程序最终通过testconfig.ini文件,下载安装所需要推广的软件以及DDOS木马、盗号木马等程序:

以下载的灭神7777.exe为例,首先从作者的网站www.wu52q.cn/?c=Public&a=get_config获得相关配置属性(猜测是接下来要刷回复的QQ部落信息),然后通过获取本机登录的QQ的Cookie以及Token,获得ClientKey之后构建对应的URL,快速登录QQ部落成功后,往指定bid的部落内回复指定帖子:

实际效果如下:

而下载运行DDOS木马,通过读取Nationalessgf服务是否存在来判断是否已经被感染运行。若未运行,则会连接黑客的远程服务器104.233.231.199:6366接收指令。

该DDOS木马具体接收的指令和用途如下,从部分错误的代码书写方式(指令16)来看,病毒本身还存在一些问题:

我们经过分析后发现,该木马除了常规的远控功能(DDOS攻击、远程执行文件、自更新、隐藏窗口打开浏览器等)外,其内部还竟然包含了一个额外的远控后门:

当系统时间大于2013年9月20日时,则会创建线程执行远控,远控地址为:xl.mrdarkddos.com,猜测病毒作者可能只是在网上查找到了某个远控程序的代码或者生成器,而生成的DDOS木马本身却包含了后门,可谓是忙活了半天,却为别人做了“嫁衣”:

附录IOC:
hxxp://down.qm188.com/update/Setup_1000.exe
hxxp://down.qm188.com/update/Setup_2000.exe
hxxp://down.qm188.com/qd/Setup_1001.exe
hxxp://down.qm188.com/qd/Setup_1002.exe
hxxp://down.qm188.com/qd/Setup_1003.exe
hxxp://down.qm188.com/qd/Setup_1004.exe
hxxp://down.qm188.com/qd/Setup_1005.exe
hxxp://down.qm188.com/updatecfg.ini
hxxp://down.qm188.com/updatecfg2.ini
hxxp://down.qm188.com/updatecfg3.ini
hxxp://down.qm188.com/demo/testconfig.ini
hxxp://down.qm188.com/demo/ServiceDemo.exe
hxxp://down.qm188.com/demo/ServiceSecondDemo.exe
hxxp://down.qm188.com/demo/ServiceThirdDemo.exe
hxxp://down.qm188.com/updateall.7z
hxxp://down.qm188.com/updatenopage.7z
hxxp://down.qm188.com/updatekz.7z
hxxp://down.qm188.com/updatefav.7z
hxxp://down.qm188.com/check.7z
hxxp://down.qm188.com/demo/MyThirdDemo.exe
hxxp://down.qm188.com/demo/MySecondDemo.exe
hxxp://down.qm188.com/demo/todayhot.exe
hxxp://183.61.164.130:8019/7777/7777.exe
5eafa08f426975b3f865f794650fb416
ddeac3d82b058b6b7826ff4d5a3ffe16
cd2b9531efce483b9f22896435a943dc

免费评分

参与人数 15吾爱币 +14 热心值 +11 收起 理由
china豪 + 1 我很赞同!
_达圣 + 1 + 1 我很赞同!
Mr.Eleven + 1 + 1 用心讨论,共获提升!
shen12wang + 1 + 1 用心讨论,共获提升!
itmaple + 1 我很赞同!
莫名 + 1 + 1 谢谢@Thanks!
Pear + 1 + 1 用心讨论,共获提升!
TMcc丶小波波 + 1 用心讨论,共获提升!
司f医2 + 1 我很赞同!
ElasticForce + 1 + 1 我很赞同!
yuanyuan829 + 1 + 1 我很赞同!
505430300 + 1 + 1 热心回复!
海泉电脑 + 1 + 1 我很赞同!
2203987 + 1 + 1 热心回复!
luoxiaosan + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Meizu一只小红果 发表于 2019-5-8 15:44
这种垃圾公司居然没被喝茶吗?还活着吗?
chenjingyes 发表于 2019-5-8 19:35
Tor-t0r 发表于 2019-5-9 06:55
我是电脑盲 我可以把这个事情理解为“吕不韦取邯郸诸姬绝好善舞者与居,知有身。子楚从不韦饮,见而说之,因起为寿,请之。吕不韦怒,念业已破家为子楚,欲以钓奇,乃遂献其姬。姬自匿有身,至大期时,生子政。子楚遂立姬为夫人。”吗?
quaternion 发表于 2019-5-8 15:10
问题来了,怎么解决
Swordfish 发表于 2019-5-8 15:10
这也太厉害了
cdtily 发表于 2019-5-8 15:16
幸亏我没有装钱蜜,太流氓了这个软件
2909094965 发表于 2019-5-8 15:22
哈哈哈,有一丝
zjjz 发表于 2019-5-8 17:02
噗,学艺不精害死人,忙活半天给别人做嫁衣了
lovechoc 发表于 2019-5-8 17:10
估计软件是让别人开发的时候留下后门了
skyking503s1 发表于 2019-5-8 17:20
最讨厌这种留后门的了
lingkeba 发表于 2019-5-8 17:58
表示完全看不懂 大神,你是做软件测试的么 ?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表