0x00 背景


近期,騰訊反病毒實驗室攔截到了大量試圖通過替換windows系統文件來感染系統的木馬,經過回溯分析,發現其主要是通過偽裝成“37游戲在線”等安裝包進行推廣傳播,感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁和推廣流氓軟件,木馬管家已經全面攔截和查殺。同時該木馬與之前的“黑狐”木馬在上報數據包、代碼風格、服務器分布等有極大的相似性,可以確定是同一作者所為。而通過該木馬多個樣本的pdb路徑,我們得知該木馬項目名稱為“肥兔”。

0x01 功能簡介


“肥兔”木馬會通過多種方式向下推廣,日均推廣量10W+,推廣后會通過替換系統文件而長期駐留在系統中,對系統穩定性和用戶的隱私安全造成極大的威脅,目前該木馬主要是通過流氓推廣和瀏覽器鎖主頁來實現盈利,如果你的瀏覽器主頁被改成www.2345.com/?32420,那么很可能就中了“肥兔”木馬。

enter image description here

“肥兔”木馬功能示意圖

enter image description here

“肥兔”木馬模塊分工示意圖

0x02 木馬作者背景分析


通過反查域名tianxinli.org3gfetion.com得到注冊信息如下:

域名:tianxinli.org  
域名ID: D176563201-LROR
注冊時間: 2015-06-15T06:27:28Z
更新時間: 2015-06-15T06:27:28Z
過期時間: 2016-06-15T06:27:28Z
域名所有者:yu ying
注冊人郵件:[email protected]

域名: 3GFETION.COM
域名ID: 1938775105_DOMAIN_COM-VRSN
注冊時間: 2015-06-15T07:23:07Z
更新時間: 2015-06-15T07:23:07Z
域名所有者: yu ying
注冊人郵件: [email protected]

兩個域名是同一天注冊,而且是同一個人持有。可以基本判定,網站持有者為病毒發布者。再通過對注冊郵箱的反查,可以看到這個組織持有很多域名,并且,故意使持有者姓名不同,來對抗社工。

將所有[email protected]注冊的郵箱的手機號整理后,發現只指向兩個號碼。進而,通過手機號可以查到該組織成員的一些信息:

陳*   QQ:383******   865*****    Tel:15869******   18067******    Email:[email protected]    [email protected]**.com
劉*   QQ:304******   185******   Tel:15957******   15869******    15957******  

enter image description here

enter image description here

在QQ上發現工作郵箱,順手去看了下他們公司官網。

enter image description here

公司域名是由張XX注冊的,就查了下,結果:

enter image description here

可以看出,該公司是有過前科的,而且,剛好是做推廣的,不得不懷疑下。

接下來,就不挖作者信息了,看看統計的后臺,掃了下網站,發現源碼泄漏。拿下源碼看了看整站目錄結構、命名并不那么規范。

enter image description here

tj.php是木馬要訪問的,跟進去發現,它每天都會對推廣的數量進行統計。審計源碼后,發現,其對要insert的數據沒有做過濾處理。于是構造payload,用sqlmap跑起來。得到數據庫表信息如下:

enter image description here

后臺每天新建一張表來統計當天安裝日志以及前一天的上線日志。

enter image description here

隨意Dump了其中一張表,看到一個驚人的安裝數量:

enter image description here

從后臺數據可以看出,該木馬從15年5月11日開始推廣,平均日推廣量10萬以上,在2015年7月11日達到了64萬之多。

0x03 詳細技術分析


3.1 setup_3l.exe文件分析

樣本MD5:fc4631e59cf1cf3a726e74f062e25c2e  描述:37最新游戲在線

樣本運行后下載了一張圖片http://less.3gfetion.com/logo.png,該圖片尾部附加了大量的二進制數據,將其解密后得到一個名為FeiTuDll.dll的文件,并在內存中加載執行。這也是“肥兔”木馬名字的來源,以下是FeiTuDll.dll文件的屬性信息,以及PDB路勁信息。

enter image description here

enter image description here

3.2 FeiTuDll.dll 文件分析

樣本MD5:a5b262da59a352b1c4470169183e094b FeiTuDll.dll運行后,收集以下信息:

  1. 通過int.dpool.sina.com.cn獲取本機外網IP及歸屬地等信息
  2. 檢測本機殺軟安裝情況:檢測是否存在zhudongfangyu.exe等360系進程、QQPCTray.exe等管家系進程、kextray.exe等金山系進程;
  3. 檢測本機是否為網吧機器:通過檢測wanxiang.exe、yaoqianshu.exe等進程來判斷是否是網吧機器;
  4. 本機MAC地址
  5. 本機操作系統版本

收集完成后將信息提交到http://count.tianxinli.org/player/tj.php

參數格式及說明如下:

op=install (操作)
ri= (當前進程名)
mc= (MAC地址)
vs=1.0.0.1 (木馬版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (殺毒軟件情況:360SecurityGuard、QQhousekeep、KingSoft之一或組合)
os=(操作系統版本)
sc= (屏幕分辨率)
bar= (是否網吧 1:是 0:否)
tm= (當前時間戳)
key= (以上信息的MD5校驗)

接收服務器返回的信息,判斷是否含有“az”字符設置相應的標志,木馬后臺會根據提交的MAC信息判斷此機器是否感染過,如果感染過則返回“az”,否則不返回任何信息。

enter image description here

隨后木馬會下載“大天使之劍”的安裝包到本地,并執行安裝。

enter image description here

安裝完成后根據之前是否返回“az”還決定隨后行為,如果返回“az”則退出進程,不再有其它行為;如果未返回“az”,則進行以下行為:判斷當前操作系統版本是32位或64位加載不同的資源文件,最終在臨時目錄下釋放tmp.exe和yrd.tmp,在windows目錄下釋放yre.tmp,并將yrd.tmp文件路勁作為參數執行tmp.exe。完成以上行為后判斷系統文件是否已經替換成功,并負責關閉windows文件保護相關的警告窗口。

enter image description here

enter image description here

3.3 tmp.exe 文件分析

根據操作系統類型,首先刪除dllcache目錄中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll(x86)。

3.4 yrd.tmp (Sens.dll、Cscdll.dll)文件分析

捕捉到的其中幾個廣度較大的變種MD5如下:

f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019

該文件的PDB信息如下:

enter image description here

該文件在系統啟動時會被winlogon進程加載,其功能是解密%windir%\yre.tmp文件并保存為%windir%\svchost.exe,最后將其執行兩次,即創建兩個進程。

enter image description here

3.5 %WinDir%\svchost.exe文件分析

該文件pdb信息如下:

enter image description here

該文件同時被執行兩次,根據互斥量來進行如下不同的分工:

1、先被執行的進程行為:

  1. 釋放LKS19.tmp驅動文件并加載
  2. 創建名為sysPipa的管道接收命令
  3. 與驅動進行通信,將命令傳遞給驅動

2、后被執行的進程行為:

  1. 獲取本機各種信息發送到http://count.tianxinli.org/player/tj.php,參數格式與FeiTuDll.dll相同。
  2. 查找殺軟進程,并將pid傳遞給sysPipa管道,用于結束殺軟進程
  3. 從以下地址下載文件到本地執行,在本地存儲為SVCH0ST.exe http:[email protected]
  4. 關閉UAC

enter image description here

3.6 驅動文件LKS19.tmp分析

enter image description here

該驅動文件具有以下功能:

  1. 注冊CreateProcess回調,通過給瀏覽器進程添加命令行的方式實現主頁鎖定
  2. 根據命令修改鎖定的主頁地址
  3. 根據命令,結束指定的進程
  4. 根據命令,hook指定的SSDT表函數

3.7 SVCH0ST.exe文件分析:

該文件PDB信息如下:該模塊的功能主要是通過百度有錢推廣獲利

enter image description here

推廣的軟件列表如下:

enter image description here

0x04 查殺方式


enter image description here

對于安裝了電腦管家的用戶,無需做任何處理,管家已經能夠精準攔截該木馬及其變種。

enter image description here

對于未安裝管家而感染了該木馬的用戶,安裝管家后使用閃電殺毒可完美清除該木馬。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞