14149

Author: kangxiaopao

0x00 背景

TeanViewer是全球知名的合法遠程控制，一般用于在線遠程協助。它的一個定制版服務，已經不是第一次成為其他遠控的幫兇了。在2014年的時候因為“小龍女”李若彤經紀人被騙100萬轟動一時，現在又重新回到大眾的視線。這次TeamViewer不再單單只是TeamViewer了，它變了。這次TeamViewer還攜帶著灰鴿子

0x01 變種前

變種前，不法分子主要通過廣泛收集受害者信息，然后有針對性的進行欺騙。這樣下來的每一單金額都相當的大。我們來看看他的主要手法，不法分子冒充警察告知用戶的正涉及某項洗錢活動，把涉及金額說的相當的大，你不相信？不法分子非常貼心的為你準備了專門的熱線以及網站供你查詢。當你撥打不法分子為你提供的電話號碼的時候，其實與你通話的就是那些對你錢包意圖不軌的人。(為啥要打他給提供的電話號碼呢╮(╯▽╰)╭)。它讓你登錄某個有關部門的網站去查看你自己的信息，一看信息什么的全對，哎喲媽呀，真的是自己啊。然后就掉進了圈套。開始對不法分子放松警惕，開始信任，并且乖乖的聽話。然后我們的TeamViewer就上場了，一個定制版的TeamViewer就出現在了用戶面前，你看它長的像下面這個樣子。標題有沒有很屌？圖標有沒有很嚇人？

定制版的把用戶名和密碼都寫死了的，只要你點擊鏈接，你就自動上線了。然后在你輸入你的銀行卡相關信息后，你的錢錢就沒了，沒了，沒了。是真的沒了，找不回來了的那種。下面就是作案手法

0x02 變種后

變種后的可變態了，不再是需要經過很久信息收集的對象了，而是把范圍擴大了。雖然用的還是TeamViewer，可是它已不是當初的那個他了。它在原來的基礎上升級了一下，在虛偽面紗背后，它還能釋放出一個灰鴿子。變種前我們可以說，那都是針對有錢人的，我們看看就好，現在已經擴散開了，這就提醒了廣大用戶，不要輕信陌生人的電話，不要輕易點擊不該點擊的程序。下面我們就來探究一下新變種到底是個什么東西，從而采取預防措施。

0x03 樣本分析

樣本執行流程

樣本行為分析

這個是母體程序，母體雖然也叫China.exe,但是他不具備TeamViewer的數字簽名。它是一個惡意的程序

主體程序釋放出兩個程序，其中一個是合法的遠控程序China(TeamViwer)，會連接到遠程客服端，能對用戶電腦進行遠程控制。

看看看，這個China.exe是有簽名的，這個才是正常的TeamViewer。

另外一個遠控就是我們前面看到的svchost，這個遠控是在背地里運行著的，所以這就降低了不法分子盜取用戶資金的難度，以及使受害者范圍更加的廣。讓我們看看他都在背后做了些什么詭異的操作。先判斷在system32下是否能夠找到自己的替身，沒找到的話就將自己復制過去并替自己的替身將屬性設置為系統文件。

然后通過調用GetVersion函數來判斷程序當前運行的環境是什么系統，根據判斷結果選擇是否對程序的權限進行提升。為了不讓操作系統彈框框╮(╯▽╰)╭

提升進程運行權限的地方。是不是很眼熟，大部分木馬病毒程序中差不多都會看到這個代碼。o(╯□╰)o

p10

程序通過寫入一個服務，從而讓背后的遠控長期駐扎在用戶的系統中，而且在調用CreatService的時候，為參數StartType指定的SERVICE_AUTO_START。該遠控就會在系統啟動的時候，隨著服務控制管理器的啟動而自動啟動

p11

運行自己的替身的同時還會釋放出一個bat文件，來替自己處理后事。消尸滅跡。

#!bash
:Repeat
del "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe"
 If Exist "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe" Goto Repeat
 del %0

新啟動的替身會打開iexplore，并將自身注入到了iexplore進程中，讓iexplore做在自己的傀儡。

p12