亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近期，筆者攔截到了大量試圖通過(guò)替換windows系統(tǒng)文件來(lái)感染系統(tǒng)的木馬，經(jīng)過(guò)回溯分析，發(fā)現(xiàn)其主要是通過(guò)偽裝成“37游戲在線”等安裝包進(jìn)行推廣傳播，感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁(yè)和推廣流氓軟件，木馬管家已經(jīng)全面攔截和查殺。同時(shí)該木馬與之前的“黑狐”木馬在上報(bào)數(shù)據(jù)包、代碼風(fēng)格、服務(wù)器分布等有極大的相似性，可以確定是同一作者所為。而通過(guò)該木馬多個(gè)樣本的pdb路徑，我們得知該木馬項(xiàng)目名稱(chēng)為“肥兔”。

“肥兔”木馬會(huì)通過(guò)多種方式向下推廣，日均推廣量10W+，推廣后會(huì)通過(guò)替換系統(tǒng)文件而長(zhǎng)期駐留在系統(tǒng)中，對(duì)系統(tǒng)穩(wěn)定性和用戶(hù)的隱私安全造成極大的威脅，目前該木馬主要是通過(guò)流氓推廣和瀏覽器鎖主頁(yè)來(lái)實(shí)現(xiàn)盈利，如果你的瀏覽器主頁(yè)被改成www.2345.com/?32420，那么很可能就中了“肥兔”木馬。

“肥兔”木馬功能示意圖

“肥兔”木馬模塊分工示意圖

3. 木馬作者背景分析

通過(guò)反查域名tianxinli.org、3gfetion.com得到注冊(cè)信息如下：

域名：tianxinli.org

域名ID： D176563201-LROR

注冊(cè)時(shí)間： 2015-06-15T06:27:28Z

更新時(shí)間： 2015-06-15T06:27:28Z

過(guò)期時(shí)間： 2016-06-15T06:27:28Z

域名所有者：yu ying

注冊(cè)人郵件：boxiaoxiao1988@163.com

域名： 3GFETION.COM

域名ID: 1938775105_DOMAIN_COM-VRSN

注冊(cè)時(shí)間： 2015-06-15T07:23:07Z

更新時(shí)間： 2015-06-15T07:23:07Z

域名所有者： yu ying

注冊(cè)人郵件： boxiaoxiao1988@163.com

兩個(gè)域名是同一天注冊(cè)，而且是同一個(gè)人持有。可以基本判定，網(wǎng)站持有者為病毒發(fā)布者。再通過(guò)對(duì)注冊(cè)郵箱的反查，可以看到這個(gè)組織持有很多域名，并且，故意使持有者姓名不同，來(lái)對(duì)抗社工。

將所有boxiaoxiao1988@163.com注冊(cè)的郵箱的手機(jī)號(hào)整理后，發(fā)現(xiàn)只指向兩個(gè)號(hào)碼。進(jìn)而，通過(guò)手機(jī)號(hào)可以查到該組織成員的一些信息：

陳*?? QQ：383******?? 865*****??? Tel：15869******?? 18067******??? Email：chen*@126.com??? y*@mail.**.com

劉*?? QQ：304******?? 185******?? Tel：15957******?? 15869******??? 15957******

在QQ上發(fā)現(xiàn)工作郵箱，順手去看了下他們公司官網(wǎng)。

公司域名是由張XX注冊(cè)的，就查了下，結(jié)果：

可以看出，該公司是有過(guò)前科的，而且，剛好是做推廣的，不得不懷疑下。

接下來(lái)，就不挖作者信息了，看看統(tǒng)計(jì)的后臺(tái)，掃了下網(wǎng)站，發(fā)現(xiàn)源碼泄漏。拿下源碼看了看整站目錄結(jié)構(gòu)、命名并不那么規(guī)范。

tj.php是木馬要訪問(wèn)的，跟進(jìn)去發(fā)現(xiàn)，它每天都會(huì)對(duì)推廣的數(shù)量進(jìn)行統(tǒng)計(jì)。審計(jì)源碼后，發(fā)現(xiàn)，其對(duì)要insert的數(shù)據(jù)沒(méi)有做過(guò)濾處理。于是構(gòu)造payload，用sqlmap跑起來(lái)。得到數(shù)據(jù)庫(kù)表信息如下：

后臺(tái)每天新建一張表來(lái)統(tǒng)計(jì)當(dāng)天安裝日志以及前一天的上線日志。

隨意Dump了其中一張表，看到一個(gè)驚人的安裝數(shù)量：

從后臺(tái)數(shù)據(jù)可以看出，該木馬從15年5月11日開(kāi)始推廣，平均日推廣量10萬(wàn)以上，在2015年7月11日達(dá)到了64萬(wàn)之多。

4、詳細(xì)技術(shù)分析

4.1 setup_3l.exe文件分析

樣本MD5：fc4631e59cf1cf3a726e74f062e25c2e

描述：37最新游戲在線

樣本運(yùn)行后下載了一張圖片http://less.3gfetion.com/logo.png，該圖片尾部附加了大量的二進(jìn)制數(shù)據(jù)，將其解密后得到一個(gè)名為FeiTuDll.dll的文件，并在內(nèi)存中加載執(zhí)行。這也是“肥兔”木馬名字的來(lái)源，以下是FeiTuDll.dll文件的屬性信息，以及PDB路勁信息。

4.2? FeiTuDll.dll 文件分析

樣本MD5：a5b262da59a352b1c4470169183e094b

FeiTuDll.dll運(yùn)行后，收集以下信息：

1）通過(guò)int.dpool.sina.com.cn獲取本機(jī)外網(wǎng)IP及歸屬地等信息；

2）檢測(cè)本機(jī)殺軟安裝情況：檢測(cè)是否存在zhudongfangyu.exe等360系進(jìn)程、QQPCTray.exe等管家系進(jìn)程、kextray.exe等金山系進(jìn)程；

3）檢測(cè)本機(jī)是否為網(wǎng)吧機(jī)器：通過(guò)檢測(cè)wanxiang.exe、yaoqianshu.exe等進(jìn)程來(lái)判斷是否是網(wǎng)吧機(jī)器；

4）本機(jī)MAC地址；

5）本機(jī)操作系統(tǒng)版本

收集完成后將信息提交到http://count.tianxinli.org/player/tj.php

參數(shù)格式及說(shuō)明如下：

op=install （操作）

ri= （當(dāng)前進(jìn)程名）

mc= （MAC地址）

vs=1.0.0.1 （木馬版本）

dq= （int.dpool.sina.com.cn返回的IP等信息）

sd= （殺毒軟件情況：360SecurityGuard、QQhousekeep、KingSoft之一或組合）

os=（操作系統(tǒng)版本）

sc= （屏幕分辨率）

bar= （是否網(wǎng)吧 1：是 0：否）

tm= （當(dāng)前時(shí)間戳）

key= （以上信息的MD5校驗(yàn)）

接收服務(wù)器返回的信息，判斷是否含有“az”字符設(shè)置相應(yīng)的標(biāo)志，木馬后臺(tái)會(huì)根據(jù)提交的MAC信息判斷此機(jī)器是否感染過(guò)，如果感染過(guò)則返回“az”，否則不返回任何信息。

隨后木馬會(huì)下載“大天使之劍”的安裝包到本地，并執(zhí)行安裝。

安裝完成后根據(jù)之前是否返回“az”還決定隨后行為，如果返回“az”則退出進(jìn)程，不再有其它行為；如果未返回“az”，則進(jìn)行以下行為：判斷當(dāng)前操作系統(tǒng)版本是32位或64位加載不同的資源文件，最終在臨時(shí)目錄下釋放tmp.exe和yrd.tmp，在windows目錄下釋放yre.tmp，并將yrd.tmp文件路勁作為參數(shù)執(zhí)行tmp.exe。完成以上行為后判斷系統(tǒng)文件是否已經(jīng)替換成功，并負(fù)責(zé)關(guān)閉windows文件保護(hù)相關(guān)的警告窗口。

4.3 tmp.exe 文件分析

根據(jù)操作系統(tǒng)類(lèi)型，首先刪除dllcache目錄中的Sens.dll或Cscdll.dll（x86）；然后用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll（x86）。

4.4 yrd.tmp （Sens.dll、Cscdll.dll）文件分析

捕捉到的其中幾個(gè)廣度較大的變種MD5如下：

f749521e9e380ecefec833d440400827

8ccf78082effa9cd3eaffbeb2a04039f

4bf8a7fd3a91e47d816cab694834be65

a18d30fef0a73cce4131faf2726adfdb

8c10cc9cde85457b081ecf7cba997019

該文件的PDB信息如下：

[000.png]

該文件在系統(tǒng)啟動(dòng)時(shí)會(huì)被winlogon進(jìn)程加載，其功能是解密%windir%\yre.tmp文件并保存為%windir%\svchost.exe，最后將其執(zhí)行兩次，即創(chuàng)建兩個(gè)進(jìn)程

4.5 %WinDir%\svchost.exe文件分析

該文件pdb信息如下：

該文件同時(shí)被執(zhí)行兩次，根據(jù)互斥量來(lái)進(jìn)行如下不同的分工：

1、先被執(zhí)行的進(jìn)程行為：

1）釋放LKS19.tmp驅(qū)動(dòng)文件并加載

2）創(chuàng)建名為sysPipa的管道接收命令

3）與驅(qū)動(dòng)進(jìn)行通信，將命令傳遞給驅(qū)動(dòng)

2、后被執(zhí)行的進(jìn)程行為：

1）獲取本機(jī)各種信息發(fā)送到http://count.tianxinli.org/player/tj.php，參數(shù)格式與FeiTuDll.dll相同。

2）查找殺軟進(jìn)程，并將pid傳遞給sysPipa管道，用于結(jié)束殺軟進(jìn)程

3）從以下地址下載文件到本地執(zhí)行，在本地存儲(chǔ)為SVCH0ST.exe

http://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497

4）關(guān)閉UAC

4.6 驅(qū)動(dòng)文件LKS19.tmp分析

該驅(qū)動(dòng)文件具有以下功能：

1）注冊(cè)CreateProcess回調(diào)，通過(guò)給瀏覽器進(jìn)程添加命令行的方式實(shí)現(xiàn)主頁(yè)鎖定

2）根據(jù)命令修改鎖定的主頁(yè)地址

3）根據(jù)命令，結(jié)束指定的進(jìn)程

4）根據(jù)命令，hook指定的SSDT表函數(shù)

4.7 SVCH0ST.exe文件分析：

該文件PDB信息如下：該模塊的功能主要是通過(guò)百度有錢(qián)推廣獲利

推廣的軟件列表如下：