騰訊反病毒實驗室近期捕獲了“黑狐”木馬的最新變種,這已經是該木馬從 2014 年初首次發現以來的第三個大變種,本次全國感染量近百萬。本文通過對“黑狐”木馬多個版 本的分析對比,來探究當前主流木馬在對抗殺軟技術、傳播渠道、獲利方式上的一些特征 和線索,也為預知和防御新的變種尋找思路。
該木馬與正常的軟件“混編”,用戶在打開該木馬程序時,誤以為是正常的 程序。由于打開過程中,沒有明顯的異常,且木馬的主要文件是在運行后經過數輪的下 載才安裝到用戶機器中,在原始樣本中只含有少量代碼,通過文件體積等完全無法看出。
使用惡意新聞簡單報、惡意便簽等各種傳播推廣渠道迅速推開,在很短的時 間內迅速感染近百萬臺電腦。當安全廠商監控到該木馬廣度過大后,會進行人工分析, 而人工分析地不徹底,就會導致木馬被設置為信任而不報毒。截止 3 月 31 日,黑狐木 馬的母體和子體在 VirusTotal 上包括騰訊電腦管家在內只有三家報毒。
圖 3. 截至目前,大部分安全廠商不報毒
該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術,在電腦開機時,由系 統用木馬文件替換系統文件,在木馬啟動后,再用備份的系統文件替換掉木馬文件,因 此木馬文件在系統關鍵位置存留的時間很短,且使用了 rootkit 技術,隱蔽性很強,絕大 多數安全軟件在電腦體檢和木馬掃描時不會掃描到木馬文件及其啟動項。
圖 4. 使用注冊表 PendingFileRenameOperations 方式實現自啟動
由于該木馬駐留在 Winlogon.exe 進程中,該進程是 windows 用戶登錄程序, 啟動地比安全軟件早,而關閉地比安全軟件遲。且在內核中含有 rootkit 保護驅動,即便 被掃描出來,也很難被徹底清除。
該木馬是一個典型的插件型遠控木馬,控制者隨時可以通過命令下發插件, 而插件可以由控制者任意定制。當前發現的插件主要是進行流氓推廣,但只要控制者想 做,隨時可以下發盜號插件、監控插件、竊密插件等可能給用戶財產、個人隱私造成嚴 重損失。
1) 正常的界面顯示、圖片格式轉換器
2) 創建一個線程,下載 http://adgeta.tryiuepx888.com/GetAds/? HSHZS.jpg
3) 從 jpg 文件尾部提取數據,解壓后得到 HSHZS.dll,創建線程直接內存執行
4) 訪問 http://#tryiuepx888.com/#php,將本地磁盤序號信息等上傳統計
1) 加載名為 A01 的資源,解壓后得到一個 PE 文件,以下將其命名為 A01.dll
2) 將 A01.dll 以遠程線程的方式注入到系統 Winlogon.exe 進程中
1) 下載 http://98.126.20.182:443/HenKew 并解壓,得到 HenKew.dll,內存執行
1) 下載 http://98.126.20.182:443/YA20150218 并解壓,得到 YA20150218.dll,內存執行
1) 加載名為 RunWin 的資源,該資源是一個 PE 文件,取名 RunWin.dll,內存執行
1) 判斷是否在 Winlogon.exe 進程或者 svchost.exe 進程
2) 創建線程,不斷進行以下行為:
(1) 創建 C:\WINDOWS\System32\SET12.tmp(SET**.tmp)
(2) 修改注冊表 PendingFileRenameOperations,實現重啟后用 SET**.tmp 替換cscdll.dll
3) 釋放 C:\WINDOWS\System32\Wbem\csvcoy.xsl(csvc**.xsl)
4) 拷貝%windir%\System32\cscdll.dll 到%windir%\Wbem\cscdll.xsl
5) 連接 C&C 服務器,接收指令,目前發現的有
(1)下載文件,WinExec 執行
(2)下載文件,注入到其他進程執行
6) 加載驅動,在驅動中,實現以下兩個功能
(1)在驅動中通過文件過濾隱藏 Set**.tmp、csvc**.xsl 文件 (2)創建關機回調,在系統關機時再次回寫注冊表和文件,保證不被清除
1) 查找并讀取 csvc.xsl 文件,解壓得到 csvc.dll,內存執行,csvc**.dll 同 RunWin.dll
