提起遠控木馬,灰鴿子、Gh0st等等都是臭名昭著。與這些木馬相比,商業級遠控軟件的監控能力毫不遜色,只不過這類軟件有著合法身份,并且在安裝和運行時都會有明顯提示。
但如果商業級遠控軟件能夠被黑客玩壞,讓它實現隱藏運行,那么它就會變成威力巨大的遠控木馬,因為這類商業級軟件會被大多數安全廠商識別為合法程序。
360QVM團隊就數次發現商業級遠控軟件遭惡意利用的情況,在此進行詳細分析。
樣本是個常見的使用色情誘惑類名稱的壓縮包“我們小姐的相片”,在解壓后得到一個批處理文件和一個隱藏的文件夾。依靠色情等擦邊球傳播,這是木馬病毒慣用的手段。
隱藏文件夾內文件如下:
批處理文件經過混淆加密,用以對抗靜態檢測:
對批處理文件的解密結果:
獲得當前日期時間并保存到ok.txt,形如201510151742;
帶參數運行ge.log,即進入命令行版的rar;
解壓文件user.txt到文件夾user,并刪除源文件。
之后則是創建文件夾c:\user0和c:\78g并復制解壓的文件。
user0目錄:
78g目錄:
此時另外兩個文件開始運行:
ok.txt是之前命令運行生成的包含當前日期時間的文件,tu1.txt是user目錄中原有文件。
再運行pb.bat,此時該目錄下僅剩一個名為照片的快捷方式。
pb.bat中內容同樣是混淆加密的:
解密后命令:
ok.txt是之前保存有當前日期時間的文本,此處通過查找字符來判斷樣本激活時間是否在指定時間范圍內。
添加注冊表。此處添加的內容將在下面介紹。
打開一張圖片,此時的“照片”,方才成為真正的圖片。
至此,批處理的命令已經結束,全程不存在病毒。當用戶想再次打開“照片”時,則會運行“照片.lnk”指向的程序。
照片所指,是一款名為裝模作樣的窗口隱藏工具,usersys.ini是該軟件的配置文件。
該軟件也并不是病毒,其配置文件具備“指定啟動時自動隱藏并運行指定程序”的功能。
樣本預設的配置,使svchnst.exe運行時便會啟動C:\user0\svchest.exe并隱藏這兩個程序的界面。
而svchest.exe實為一款名為“網靈”的商業遠控受控端。對于具有合法身份的商業遠控,很多殺毒軟件原則上也是不報毒的。
該程序運行時原本有明確提示;但由于svchnst的隱藏運行,該遠控受控端的圖標和提示便被隱藏。
因為網靈受控端安裝包在安裝時需要填入網靈服務id和密碼,并將這些信息保存到注冊表hklm\software\anypc01中:
這也可以解釋上述批處理命令中,需要添加注冊表的原因。
病毒作者事先在一臺電腦上用商業遠控配置好受控端,使用批處理來添加同等配置信息;再借助一款窗口隱藏工具,隱藏商業遠控端開啟時的提示。這樣,受害者在不知不覺間,就遭到了攻擊者的毒手;而攻擊者也無需編寫惡意程序,通過合法商業遠控的隱藏實現就控制了受害者的電腦。 在此我們提醒廣大網友:木馬并不只是exe等可執行程序,類似.bat這樣的腳本文件同樣很危險。如果遇到不熟悉的文件格式或是陌生人發來的可疑文件,切莫輕易點擊運行。