信息來源:FreeBuf
1. 背景
“綠色軟件”通常指的是那些無需安裝即可使用的小軟件,這些小軟件運(yùn)行后通??梢灾苯邮褂?,且使用后不會(huì)在注冊(cè)表、系統(tǒng)目錄等殘留任何鍵值和文件,甚至可以直接將其放到U盤、光盤等移動(dòng)介質(zhì)中,隨時(shí)隨地使用。
同時(shí)由于其免安裝、解壓即可使用,也會(huì)給人予安全的感覺,因此深受廣大網(wǎng)友的喜愛。然而這些“綠色軟件”真的都安全嗎?
2. 木馬簡(jiǎn)介
近期騰訊反病毒實(shí)驗(yàn)室捕獲到多個(gè)帶有木馬的“綠色軟件”壓縮包,此類綠色軟件通常為小工具類,通過中小下載站傳播,這些標(biāo)榜“綠色軟件”的壓縮包程序中含有木馬。此外,這些工具還被大量上傳到網(wǎng)盤、論壇、社交群里,傳播量較大。木馬運(yùn)行后不僅會(huì)篡改多種瀏覽器的主頁,還會(huì)下載大量推廣程序、木馬到本地執(zhí)行,對(duì)用戶計(jì)算機(jī)安全造成嚴(yán)重的威脅。
圖1. 解壓后的“綠色軟件”目錄
該木馬主要存在于各種“綠色軟件”包中,直接替換原本的主程序,將原本的主程序重新命名為mail.dll,木馬啟動(dòng)后會(huì)查找同目錄下的mail.dll文件,并將其運(yùn)行起來,從而讓用戶完全無法察覺。隨后木馬便會(huì)不斷篡改主頁、下載推廣軟件、關(guān)閉防火墻、關(guān)閉系統(tǒng)聲音、后臺(tái)刷流量等。
3. 木馬詳細(xì)分析
該木馬使用VB語言編寫,由于VB語言在編譯程序時(shí)是將程序編譯成中間語言,而非二進(jìn)制代碼,因此具有天然的免殺功效,目前VirusTotal上僅有不到三分之一的安全軟件能夠識(shí)別該木馬。
通過VB反編譯軟件對(duì)該樣本進(jìn)行反編譯后可以發(fā)現(xiàn),除了主函數(shù)外,還有一個(gè)窗體中含有多個(gè)事件,包括三個(gè)計(jì)時(shí)器事件,以及窗體的加載和卸載事件等,此外,通過代碼結(jié)構(gòu)可發(fā)現(xiàn),該樣本中嵌入了一款名為VB多標(biāo)簽頁面web瀏覽器的控件,該控件主要用于訪問指定導(dǎo)航頁面,刷流量。
圖2. 反編譯代碼總體結(jié)構(gòu)圖及與開源的一個(gè)vb控件對(duì)比
木馬運(yùn)行后在主函數(shù)中會(huì)先關(guān)閉系統(tǒng)自帶的防火墻,隨后立即運(yùn)行同目錄下的main.dll文件,經(jīng)分析該軟件真正的主體文件。此外,可能是為了逃避分析和特征查殺,該木馬程序中的所有字符串均拆分成小片段后再拼接。
圖3. 木馬主函數(shù)相關(guān)代碼
main.dll實(shí)為軟件主程序,將其擴(kuò)展名改為exe后,可見其真實(shí)圖標(biāo),木馬只是以貍貓換太子之術(shù)將主程序“掉包”,運(yùn)行主程序后主程序完成軟件真實(shí)功能,木馬則在后臺(tái)偷偷運(yùn)行。
圖4.將main.dll擴(kuò)展名改為exe后, 可見其真實(shí)圖標(biāo)
在主窗體的加載函數(shù)中,木馬初始化部分配置信息,主要是訪問以下4個(gè)URL鏈接獲取相關(guān)配置信息,以及發(fā)送統(tǒng)計(jì)信息、使用內(nèi)置web瀏覽器刷流量。
www.dongzhiri.com/t/0.asp(主頁配置)、
www.dongzhiri.com/t/1.htm(統(tǒng)計(jì))、
g.msnunion.com/exi/h.asp(第三方瀏覽器主頁配置)、
g.msnunion.com/exi/wj.htm(跳轉(zhuǎn)到導(dǎo)航頁http://www8.1616.net/?un7783)刷流量
隨后啟動(dòng)計(jì)時(shí)器1和計(jì)時(shí)器2,由計(jì)時(shí)器2完成木馬的主要功能。
圖5. 木馬主窗體的加載函數(shù)相關(guān)代碼
計(jì)時(shí)器1主要實(shí)現(xiàn)的功能是:不斷查詢系統(tǒng)的進(jìn)程列表,以判斷main.dll進(jìn)程是否存在,如果不存在,說明用戶已經(jīng)關(guān)閉該軟件,此時(shí)木馬便調(diào)用窗體卸載函數(shù)準(zhǔn)備退出程序,以免被發(fā)現(xiàn)異常。
圖6. 計(jì)時(shí)器1主要功能函數(shù)相關(guān)代碼
計(jì)時(shí)器2負(fù)責(zé)完成木馬的主要惡意行為,首先會(huì)根據(jù)初始化的配置信息,修改多種瀏覽器的主頁,目前,該木馬配置的主頁為:http://www8.1616.net/?un5794end
圖7. 修改ie瀏覽器主頁
圖8.通過修改注冊(cè)表實(shí)現(xiàn)主頁修改
圖9. 目前該木馬配置的主頁,是一個(gè)導(dǎo)航網(wǎng)站
圖10. 修改第三方瀏覽器主頁
隨后木馬會(huì)下載配置文件http://www.dongzhiri.com/t/j.txt到本地解密,該配置文件存儲(chǔ)的主要是要推廣的軟件列表,根據(jù)電腦關(guān)鍵監(jiān)測(cè),該配置文件約1分鐘變動(dòng)一次,每次推廣的文件都不一樣??梢娫撃抉R還在持續(xù)活躍中。
圖11. 下載推廣列表配置文件
圖12.推廣列表解密函數(shù)
圖13. 加密的推廣列表,該列表每隔數(shù)分鐘變化一次,推廣不同的程序
圖14. 下載安裝推廣的軟件
該木馬推廣的程序列表以分鐘級(jí)更新,以下是該木馬推廣的部分軟件,可見大部分為游戲程序,此外還有發(fā)現(xiàn)該木馬推廣其它木馬程序。
圖15. 木馬推廣的部分軟件列表
4. 傳播渠道
此木馬通過標(biāo)榜“綠色軟件”,打包到各種小軟件工具包中,并上傳到大量中小下載站,經(jīng)不完全統(tǒng)計(jì),目前在網(wǎng)絡(luò)上的打包有該木馬的“綠色軟件”包總數(shù)量在1000個(gè)以上,涉及到各種常用小工具。以下為部分被打包了木馬“綠色軟件”列表。
圖16. 部分被打包了木馬的“綠色軟件”
圖17. 傳播渠道
圖18. 傳播渠道
圖19. 傳播渠道
5. 結(jié)語
隨著互聯(lián)網(wǎng)的普及和發(fā)展,網(wǎng)絡(luò)黑色產(chǎn)業(yè)也越來越深入互聯(lián)網(wǎng)的每一個(gè)角落,曾經(jīng)干凈的、安全的、無私共享的網(wǎng)絡(luò)資源如今已經(jīng)逐漸絕跡。就像前段時(shí)間騰訊反病毒實(shí)驗(yàn)室曝光的附加在ghost鏡像中的“蘇拉克”木馬一樣,網(wǎng)絡(luò)上未被黑產(chǎn)染指的空間越來越小。如今網(wǎng)絡(luò)上的共享免費(fèi)的資源,已經(jīng)少有安全的了。
在此管家建議廣大用戶,無論是大軟件還是小工具或者操作系統(tǒng),盡量從官網(wǎng)下載,或者使用安全軟件的軟件管理進(jìn)行下載和安裝,盡量不要從無法確定安全性的中小網(wǎng)站下載資源。
* 作者:騰訊電腦管家(企業(yè)賬號(hào)),轉(zhuǎn)載請(qǐng)注明來自FreeBuf黑客與極客(FreeBuf.COM)