近日,360互聯網安全中心攔截了大量可疑流氓推廣樣本,這些樣本偽裝成游戲盒子,安裝后接收云端指令,會強制下載推廣軟件,彈窗,修改主頁,通過用戶的電腦賺取大量的利益,本文將對此樣本詳細分析.
該木馬通過下載站捆綁傳播,安裝后潛伏25分鐘,25分鐘后向服務器發送機器信息(系統版本,軟件版本號等),收到指令后下載推廣軟件和刷流量軟件,系統重啟后靜默安裝同時啟動刷流量的軟件,占用系統大量資源和流量.總感染量達數千萬.
圖 1 安裝包
Setup11009.exe
文件大小: 362752 字節
MD5 e20ecf2a617ae0a063b49668a64577ec
安裝包和程序都使用同一個簽名
1) 安裝后目錄結構:
圖 2 目錄結構
2) 程序列表中:
程序名為 gmbox Redistributable Package(kb20140526) ,偽裝成Windows補丁包程序
時間為真實安裝時間的一年前
圖 3 控制面板-卸載程序-顯示
3) 開始菜單顯示為 GXBox游戲
圖 4 開始菜單
4) 托盤顯示圖標
圖 5 托盤圖標
5) 打開后,偽裝成游戲廣告
圖 6 主界面
6) 添加服務,名稱為GmXbox_update, dll路徑指向安裝目錄下的gmbox.dll
圖 7 服務名稱
圖 8 服務DLL路徑
7) 在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加啟動項,參數為 -tray,每次啟動不顯示主界面,只有托盤圖標
圖 9 啟動項
8) 安裝后25分鐘,在臨時目錄下載了數個廣告軟件和安裝程序
圖 10 下載安裝包
圖 11 臨時目錄中下載的安裝包
其中
這3個程序的PE頭被修改,防止被殺軟查殺.
圖 12 修改后的PE頭
其他為廣告軟件安裝程序.
系統重啟后,廣告程序全部都靜默安裝
首先,禁用常用程序的快速啟動任務欄顯示,為后面安裝軟件留位置
WriteRegStr HKCR Applications\$_gmbox_.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\uninstall.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmain.exe NoStartPage ""
WriteRegStr HKCR Applications\360sd.exe NoStartPage ""
WriteRegStr HKCR Applications\rsagent.exe NoStartPage ""
WriteRegStr HKCR Applications\360safe.exe NoStartPage ""
WriteRegStr HKCR Applications\rsmctray.exe NoStartPage ""
WriteRegStr HKCR Applications\kav.exe NoStartPage ""
WriteRegStr HKCR Applications\rsstub.exe NoStartPage ""
WriteRegStr HKCR Applications\SHPlayer.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia.exe NoStartPage ""
WriteRegStr HKCR Applications\wandoujia2.exe NoStartPage ""
WriteRegStr HKCR Applications\Uninst.exe NoStartPage ""
Delete $DESKTOP\*123*.lnk
Delete $DESKTOP\*123*.url
Delete $DESKTOP\*Int*.lnk
Delete $DESKTOP\*Int*.url
Delete $DESKTOP\*1nt*.lnk
Delete $DESKTOP\*1nt*.url
Delete $DESKTOP\*網址*.lnk
Delete $DESKTOP\*網址*.url
Delete $DESKTOP\*導航*.lnk
Delete $DESKTOP\*導航*.url
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*123*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*Int*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*1nt*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*網址*.url"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.lnk"
Delete "$APPDATA\Microsoft\Internet Explorer\Quick Launch\*導航*.url"
Delete $INSTDIR\ad.dat
圖 13 安裝腳本-調用gmbox.dll Install函數
圖 14 安裝腳本-修改安裝時間
圖 15 數據包
http://sj.go2050.com/rcsj.ashx
圖 16 post數據
圖 17 注冊云控命令相應函數
圖 18 下載廣告軟件
圖 19 獲取指令單
其中帶有-kboxsvc標記的(即ir56.exe)是安裝軟件.
圖 20 加密后的ir56.exe路徑
當系統關機時,函數執行,讀取gmbox.ini中的nrd字段,即安裝程序ir56.exe的路徑,解密后設置RunOnce啟動項.
圖 21 設置ir56.exe啟動項
圖 22 還原PE文件
圖 23 添加gmbox.exe啟動項
圖 24 創建gmbox update服務
圖 25 遍歷檢測是否有指定進程
圖 26 加密后的進程名稱
圖 27 調用采集接口
圖 28 獲取和采集數據接口說明
在軟件獲取最新版本號的地址 http://dh.go2050.com/download/version.xml 的上層目錄中我們發現了anote(多彩便簽)的安裝包,下載后分析判定和gmbox高度相似.
圖 29 anote安裝包下載
圖 30 gmbox注冊云控命令處理函數
圖 31 anote注冊云控命令處理函數
圖 32 gmbox.dll 字符串加密函數
圖 33 anote.dll 字符串加密函數
圖 34 gmbox.dll 加密的字符串表
圖 35 anote.dll 加密的字符串表
這個字符串列表被_UnInstall函數引用,用于判斷是用戶手動卸載還是第三方管理軟件卸載,并把結果發送到服務器做統計.
圖 36 判斷是否是用戶手動卸載
圖 37 構建發送字符串
圖 38 發送統計數據
圖 39 安裝攔截
總結: 通過分析我們發現,該木馬添加了系統服務,啟動后過一段時間才觸發行為,下載的安裝程序去除了PE特征,以此逃過殺軟掃描,系統關機時恢復PE文件,重啟后安裝推廣軟件,潛伏性、隱蔽性較強,中招之后較難發現,建議用戶安裝專業的安全軟件,養成良好的上網習慣,從正規下載網站或者軟件管家下載軟件,不要運行來歷不明的軟件.安裝軟件時注意取消默認勾選的捆綁軟件.