攔截量一夜之間從零增長到20多萬,通過回溯發現主要由“剛需”的色情播放器推廣安裝。然而分析時該軟件卻表現地很無辜——直接安裝運行,看其功能就是為了實現按下按鍵播放對應的聲音,幾乎沒有什么惡意行為。然而經測試,其功能并不完善,點擊在線升級不進行任何判斷就直接彈出當前已是最新版本的提示,這真的就是軟件的全部功能嗎?
(圖1:木馬攔截量呈爆發式增長)
軟件名稱:會說話的鍵盤
文件名:Key_jpls_9181068.exe
MD5:40dd0aca08e51406179f61cbc382ea84
行為簡介:安裝時判斷自身文件名,不符合規則就彈出安裝向導,符合則直接靜默安裝,安裝后在%appdata%\TsanZioxs目錄下釋放如下文件,并運行。
(圖2:安裝后釋放文件)
其中Sound目錄下除了很多聲音文件外,還有兩個數據文件。
(圖3:Sound目錄下部分文件)
運行后看著像是正常的軟件,有界面、有看似正常的功能。
(圖4:任務欄創建圖標)
(圖5:點擊圖標后的相關界面)
1、在任務欄的通知區域創建圖標,并創建相關的界面進行偽裝,然而軟件本身并不能實現播放按鍵聲音的功能。如果符合條件,重啟機器后將不會再出現相關界面,直接在后臺執行。整個木馬代碼中被大量加入了異常處理函數并主動拋出異常,用于干擾分析。
(圖6)
2、創建線程開始木馬行為:首先獲取MAC地址,并使用散列算法將MAC地址計算成一個hash值,隨后將其發送到udp.1qingling.com.cn:2005,為了隱蔽該通訊使用UDP協議。
(圖7)
(圖8)
(圖9)
3、接收服務器返回的數據,判斷返回的相應值,如果是0x191,則不進行任何行為。
(圖10)
4、為什么只上傳了MAC的hash值就會返回0x191呢?難道有黑名單?或者通過MAC判斷虛擬機?然而并不是,多次測試后發現該返回值與當前的ip地址有關系,比如在對北京、深圳、成都、杭州四個城市的測試中,發現只有北京和深圳返回了0x191,看來該木馬至少避開了北京和深圳的用戶。
(圖11)
5、如果當前城市不是要屏蔽的城市,則不再裝無辜,露出真面目,開始木馬行為:首先創建開機自啟動項長期駐扎電腦,隨后將Sound目錄下的Enter.bin文件映射到內存。
(圖12)
6、經分析Enter.bin和Space.bin文件都是經過壓縮的,壓縮相關的參數存在文件的末尾,分別通過搜索Space和Enter關鍵詞來定位壓縮相關參數,如下圖所示:
(圖13)
(圖14)
7、獲取到相關參數后使用zlib庫進行解壓,該木馬靜態編譯了zlib庫,版本為1.2.3
(圖15)
8、解壓成功后對文件進行簡單的校驗,確認是PE文件后創建自身傀儡進程,將解壓出的PE注入到傀儡進程中運行。
(圖16)
(圖17)
(圖18)
該文件由Enter.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E
1、下載http://config.1qingling.com/biz/810.xml配置文件,該配置文件經過加密,解密后內容如圖19。該木馬的主要功能分三塊,第一是流氓推廣、第二是彈窗,第三是右下角彈窗。每個功能都配置了生效時間,彈窗頻率和時間等。
(圖19)
2、解析配置文件,根據配置文件進行下載推廣行為。
(圖20)
(圖21推廣的文件)
3、配置中的彈窗功能代碼則不在此文件中,其以加載Enter.bin相同的方式加載Space.bin文件并在內存中加載,隨后將配置文件中的參數作為命令行參數創建自身傀儡進程,將Space.bin注入執行。
(圖22)
(圖23)
該文件由Space.bin解壓而來不落地,MD5:1DCC1E25CF884AF7AF6EA3927CAB9D6E
1、該文件的主要功能是從命令行參數中獲取彈窗相關的參數信息,進行彈窗行為。
(圖24)
具體彈窗行為:
1)大的彈窗廣告如圖25:對應配置文件中的<Right>標簽
(圖25)
2)右下角彈窗廣告如圖26:對應配置文件中的<Minimax>標簽
(圖26)
隨著安全軟件的普及,純粹木馬的生存空間越來越小,更多的木馬在看似正常的軟件中插入惡意代碼進行偽裝,除了后臺的惡意代碼外,其在前臺還創建了相應的偽裝界面,盡量把自己裝得單純無害,甚至還會通過ip限制等手段逃避安全廠商的分析。
該木馬的惡意推廣列表中的大部分是流氓軟件,還有少數危害嚴重的木馬程序,且待下回分析。