背景描述
近期,毒霸監測到一款DDOS木馬的感染量呈現出上升趨勢,而同時呈現出相同增長趨勢的,還有部分流氓軟件。經過溯源分析,我們發現上述2類軟件均來自上海奇陸網絡科技有限公司的一款叫做“錢蜜省錢助手”的軟件。
該軟件除了根據雲端配置文件,下載推廣流氓軟件外,還會劫持主頁、篡改瀏覽器收藏夾、盜取QQ的Token在QQ部落發廣告,使目標電腦變成肉雞,進行DDOS攻擊。有趣的是,該病毒下載的DDOS木馬內部竟還包含一個後門,猜測該DDOS樣本是在某個木馬生成器中生成的,而生成器的作者又在其內部留下了後門。
技術分析
該病毒的主要運行流程如下:
當錢蜜安裝完成後,會在安裝目錄釋放以下文件:
qm.exe為軟件主程序,該程序根據啟動參數的不同,激活不同的功能:
若啟動參數為/from=qm_azb,則從down.qm188.com/updatecfg2.ini下載配置文件,程序根據配置文件中的標誌指令,下載安裝不同的文件,以我們當前分析的程序為例,該程序獲取到的標誌為1,根據這個標誌從down.qm188.com/updateall.7z下載得到了一個加密的壓縮包文件updateall.7z:
該壓縮包經過解密後,解壓釋放出demo.dll,該文件會繼續從down.qm188.com/check.7z下載一個加密的壓縮包,包內包含一個lock.dll,該DLL文件封裝了針對市面上常見瀏覽器的劫持修改函數:
而demo.dll則主要執行:
1.篡改瀏覽器收藏夾,靜默替換收藏項鍊接;
2.安裝瀏覽器插件;
3.鎖定主頁為hao.360.cn/?src=lm&ls=n42a7fc6c92。
被針對進行篡改的瀏覽器如下:
在劫持完瀏覽器之後,還會安裝ebuyast40510.exe和MyThirdDemo.exe,前者主是另一個助手類軟件,而後者則會根據雲端test.ini的配置文件,下載運行:ServiceDemo.exe、ServiceSecondDemo.exe、ServiceThirdDemo.exe,這三個程序最終通過testconfig.ini文件,下載安裝所需要推廣的軟件以及DDOS木馬、盜號木馬等程序:
以下載的滅神7777.exe為例,首先從作者的網站www.wu52q.cn/?c=Public&a=get_config獲得相關配置屬性(猜測是接下來要刷回覆的QQ部落信息),然後通過獲取本機登錄的QQ的Cookie以及Token,獲得ClientKey之後構建對應的URL,快速登錄QQ部落成功後,往指定bid的部落內回覆指定帖子:
實際效果如下:
而下載運行DDOS木馬,通過讀取Nationalessgf服務是否存在來判斷是否已經被感染運行。若未運行,則會連接黑客的遠程服務器104.233.231.199:6366接收指令。
該DDOS木馬具體接收的指令和用途如下,從部分錯誤的代碼書寫方式(指令16)來看,病毒本身還存在一些問題:
我們經過分析後發現,該木馬除了常規的遠控功能(DDOS攻擊、遠程執行文件、自更新、隱藏窗口打開瀏覽器等)外,其內部還竟然包含了一個額外的遠控後門:
當系統時間大於2013年9月20日時,則會創建線程執行遠控,遠控地址為:xl.mrdarkddos.com,猜測病毒作者可能只是在網上查找到了某個遠控程序的代碼或者生成器,而生成的DDOS木馬本身卻包含了後門,可謂是忙活了半天,卻為別人做了“嫁衣”:
附錄IOC
hxxp://down.qm188.com/update/Setup_1000.exe
hxxp://down.qm188.com/update/Setup_2000.exe
hxxp://down.qm188.com/qd/Setup_1001.exe
hxxp://down.qm188.com/qd/Setup_1002.exe
hxxp://down.qm188.com/qd/Setup_1003.exe
hxxp://down.qm188.com/qd/Setup_1004.exe
hxxp://down.qm188.com/qd/Setup_1005.exe
hxxp://down.qm188.com/updatecfg.ini
hxxp://down.qm188.com/updatecfg2.ini
hxxp://down.qm188.com/updatecfg3.ini
hxxp://down.qm188.com/demo/testconfig.ini
hxxp://down.qm188.com/demo/ServiceDemo.exe
hxxp://down.qm188.com/demo/ServiceSecondDemo.exe
hxxp://down.qm188.com/demo/ServiceThirdDemo.exe
hxxp://down.qm188.com/updateall.7z
hxxp://down.qm188.com/updatenopage.7z
hxxp://down.qm188.com/updatekz.7z
hxxp://down.qm188.com/updatefav.7z
hxxp://down.qm188.com/check.7z
hxxp://down.qm188.com/demo/MyThirdDemo.exe
hxxp://down.qm188.com/demo/MySecondDemo.exe
hxxp://down.qm188.com/demo/todayhot.exe
hxxp://183.61.164.130:8019/7777/7777.exe
5eafa08f426975b3f865f794650fb416
ddeac3d82b058b6b7826ff4d5a3ffe16
cd2b9531efce483b9f22896435a943dc
*本文作者:安全豹,轉載自FreeBuf.COM