提起遠控木馬,灰鴿子、Gh0st等等都是臭名昭著。與這些木馬相比,商業級遠控軟件的監控能力毫不遜色,只不過這類軟件有著合法身份,并且在安裝和運行時都會有明顯提示。

但如果商業級遠控軟件能夠被黑客玩壞,讓它實現隱藏運行,那么它就會變成威力巨大的遠控木馬,因為這類商業級軟件會被大多數安全廠商識別為合法程序。

360QVM團隊就數次發現商業級遠控軟件遭惡意利用的情況,在此進行詳細分析。

0x01 樣本概況


樣本是個常見的使用色情誘惑類名稱的壓縮包“我們小姐的相片”,在解壓后得到一個批處理文件和一個隱藏的文件夾。依靠色情等擦邊球傳播,這是木馬病毒慣用的手段。

隱藏文件夾內文件如下:

批處理文件經過混淆加密,用以對抗靜態檢測:

0x02 批處理流程


對批處理文件的解密結果:

其中主要命令為:

Part 1:

獲得當前日期時間并保存到ok.txt,形如201510151742;

帶參數運行ge.log,即進入命令行版的rar;

解壓文件user.txt到文件夾user,并刪除源文件。

Part 2:

之后則是創建文件夾c:\user0和c:\78g并復制解壓的文件。

user0目錄:

78g目錄:

此時另外兩個文件開始運行:

ok.txt是之前命令運行生成的包含當前日期時間的文件,tu1.txt是user目錄中原有文件。

再運行pb.bat,此時該目錄下僅剩一個名為照片的快捷方式。

Part 3:

pb.bat中內容同樣是混淆加密的:

解密后命令:

ok.txt是之前保存有當前日期時間的文本,此處通過查找字符來判斷樣本激活時間是否在指定時間范圍內。

添加注冊表。此處添加的內容將在下面介紹。

打開一張圖片,此時的“照片”,方才成為真正的圖片。

至此,批處理的命令已經結束,全程不存在病毒。當用戶想再次打開“照片”時,則會運行“照片.lnk”指向的程序。

0x03 利用小眾軟件隱藏遠控程序


照片所指,是一款名為裝模作樣的窗口隱藏工具,usersys.ini是該軟件的配置文件。

該軟件也并不是病毒,其配置文件具備“指定啟動時自動隱藏并運行指定程序”的功能。

樣本預設的配置,使svchnst.exe運行時便會啟動C:\user0\svchest.exe并隱藏這兩個程序的界面。

而svchest.exe實為一款名為“網靈”的商業遠控受控端。對于具有合法身份的商業遠控,很多殺毒軟件原則上也是不報毒的。

該程序運行時原本有明確提示;但由于svchnst的隱藏運行,該遠控受控端的圖標和提示便被隱藏。

因為網靈受控端安裝包在安裝時需要填入網靈服務id和密碼,并將這些信息保存到注冊表hklm\software\anypc01中:

這也可以解釋上述批處理命令中,需要添加注冊表的原因。

0x04 總結


病毒作者事先在一臺電腦上用商業遠控配置好受控端,使用批處理來添加同等配置信息;再借助一款窗口隱藏工具,隱藏商業遠控端開啟時的提示。這樣,受害者在不知不覺間,就遭到了攻擊者的毒手;而攻擊者也無需編寫惡意程序,通過合法商業遠控的隱藏實現就控制了受害者的電腦。 在此我們提醒廣大網友:木馬并不只是exe等可執行程序,類似.bat這樣的腳本文件同樣很危險。如果遇到不熟悉的文件格式或是陌生人發來的可疑文件,切莫輕易點擊運行。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞