吃雞輔助遠控木馬分析

近期360安全衛士攔截到帶木馬的荒野求生輔助通過論壇、QQ、YY大量傳播。木馬運行後，黑客可以遠程控制用戶電腦，進行任意操作，並將中招電腦作為傀儡機，進行DDOS攻擊，嚴重危害個人信息安全和網路秩序。

一、主要流程

帶木馬的荒野求生輔助以免費形式發布在布衣論壇中

圖1

帶木馬的荒野求生輔助運行後界面如下

圖2

該荒野求生輔助被用戶下載運行後會釋放運行兩個木馬文件：「過CRC檢測.exe」和「防封插件.exe」。其中「防封插件.exe」，是一個遠控木馬，可以竊取用戶電腦中的信息，下載執行任意文件。另外一個「過CRC檢測.exe」，是一個DDOS木馬，根據黑客指令進行定向攻擊。

圖3

二、防封插件.exe

防封插件.exe是一個加密木馬的載體，該文件運行時會解密出具有遠控功能的dll文件，並在內存中載入執行。

1.解密dll木馬

木馬作者加密木馬程序後，把加密數據作為全局變數存儲在防封插件.exe程序的全局數據區。

圖4

解密木馬的功能位於防封插件.exe程序的異常處理里。由程序主動拋出整型異常，進入相應的異常處理函數，解出木馬。

圖5

解密後的木馬是一個dll文件。

圖6

2.內存載入dll木馬

防封插件.exe通過PELoader的方法，在內存中映射解密後的dll文件，並調用Dllmain執行。

圖7

然後計算導出函數ForShare82的位置，調用導出函數。至此，木馬本體已經完整載入到內存並運行。

圖8

3.Dll木馬功能

Dll木馬具有遠控功能，控制伺服器地址：27.126.188.68，埠：522。該程序包含鍵盤記錄、下發文件、註冊表控制、服務控制等功能。

圖9

鍵盤記錄功能：判斷鍵盤輸入的內容，然後格式化鍵盤信息，過濾特殊按鍵（SHITF、CTRL等），最後重組成完整的輸入信息，寫入文件。

圖 10

截屏功能：獲取解析度信息，然後進行截屏操作。

圖11

其他控制功能：

圖12

三、過CRC檢測.exe

過CRC檢測.exe程序根據註冊表項SYSTEMCurrentControlSetServices.Net CLR是否存在，判斷程序是否第一次運行，首次運行會執行不同流程。

圖13

1. 首次運行的執行流程

將自身以隨機文件名拷貝到windows目錄下

圖14

將拷貝後的文件註冊為自動啟動的服務，服務名.Net CLR。

圖15

修改服務描述信息為：Microsoft .NET COM+ Integration with SOAP以進一步迷惑用戶。

圖16

寫註冊表項SYSTEMCurrentControlSetServices.Net CLR。

圖17

刪除原始木馬文件。

圖18

2. .Net CLR服務程序執行流程

由於首次運行時註冊了服務，所以樣本作為服務二次啟動的時候就會進入另一個流程。

1)創建互斥體「.Net CLR」

圖19

2)釋放hra33.dll（這是一個lpk劫持dll），緊接著便更新dll的資源，然後載入dll。

圖20

hra33.dll被載入之後，DllMain中立即運行惡意行為，遍歷用戶磁碟文件，每當發現一個exe文件時，便將自身拷貝到exe文件目錄下，並將自身重命名為lpk.dll。

圖21

3)創建區域網傳播線程，嘗試弱口令連接區域網內的用戶，將自身拷貝到本地磁碟和區域網共享目錄的C、D、E、F盤下並重命名為g1fd.exe，其中成功拷貝至C、D、E盤時，會以計劃任務的方式直接啟動。

圖22

區域網傳播中用到的部分用戶名和弱口令

圖23

4)創建三個遠控線程。三個線程的控制功能是一致的，但連接的伺服器不同，此外前2個線程會驗證系統時間，當時間大於2013/2/21才會創建控制線程。

圖24

遠控線程1的連接，實測是無效連接。

圖25

遠控線程2的遠程連接c&c 地址（z*******g.bid）埠是20199

圖26

遠控線程3的連接，伺服器地址是加密的，解密後是27.126.188.68:520

圖27

5)遠控線程的主要功能

下載執行任意文件

圖28

DDOS攻擊

圖29

使用遠程命令行參數啟動IE

圖30

更新木馬文件

圖31

卸載自身

圖32

四、溯源

通過對惡意樣本的分析，找到了域名z*******g.bid，通過域名反查定位到域名相關的註冊郵箱和聯繫電話。

圖33

通過郵箱和手機定位到相關信息如下

圖34

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！