近期,騰訊反病毒實驗室攔截到了大量試圖通過替換windows系統文件來感染系統的木馬,經過回溯分析,發現其主要是通過偽裝成“37游戲在線”等安裝包進行推廣傳播,感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁和推廣流氓軟件,木馬管家已經全面攔截和查殺。同時該木馬與之前的“黑狐”木馬在上報數據包、代碼風格、服務器分布等有極大的相似性,可以確定是同一作者所為。而通過該木馬多個樣本的pdb路徑,我們得知該木馬項目名稱為“肥兔”。
“肥兔”木馬會通過多種方式向下推廣,日均推廣量10W+,推廣后會通過替換系統文件而長期駐留在系統中,對系統穩定性和用戶的隱私安全造成極大的威脅,目前該木馬主要是通過流氓推廣和瀏覽器鎖主頁來實現盈利,如果你的瀏覽器主頁被改成www.2345.com/?32420,那么很可能就中了“肥兔”木馬。
“肥兔”木馬功能示意圖
“肥兔”木馬模塊分工示意圖
通過反查域名tianxinli.org、3gfetion.com得到注冊信息如下:
域名:tianxinli.org
域名ID: D176563201-LROR
注冊時間: 2015-06-15T06:27:28Z
更新時間: 2015-06-15T06:27:28Z
過期時間: 2016-06-15T06:27:28Z
域名所有者:yu ying
注冊人郵件:[email protected]
域名: 3GFETION.COM
域名ID: 1938775105_DOMAIN_COM-VRSN
注冊時間: 2015-06-15T07:23:07Z
更新時間: 2015-06-15T07:23:07Z
域名所有者: yu ying
注冊人郵件: [email protected]
兩個域名是同一天注冊,而且是同一個人持有。可以基本判定,網站持有者為病毒發布者。再通過對注冊郵箱的反查,可以看到這個組織持有很多域名,并且,故意使持有者姓名不同,來對抗社工。
將所有[email protected]注冊的郵箱的手機號整理后,發現只指向兩個號碼。進而,通過手機號可以查到該組織成員的一些信息:
陳* QQ:383****** 865***** Tel:15869****** 18067****** Email:[email protected] [email protected]**.com
劉* QQ:304****** 185****** Tel:15957****** 15869****** 15957******
在QQ上發現工作郵箱,順手去看了下他們公司官網。
公司域名是由張XX注冊的,就查了下,結果:
可以看出,該公司是有過前科的,而且,剛好是做推廣的,不得不懷疑下。
接下來,就不挖作者信息了,看看統計的后臺,掃了下網站,發現源碼泄漏。拿下源碼看了看整站目錄結構、命名并不那么規范。
tj.php是木馬要訪問的,跟進去發現,它每天都會對推廣的數量進行統計。審計源碼后,發現,其對要insert的數據沒有做過濾處理。于是構造payload,用sqlmap跑起來。得到數據庫表信息如下:
后臺每天新建一張表來統計當天安裝日志以及前一天的上線日志。
隨意Dump了其中一張表,看到一個驚人的安裝數量:
從后臺數據可以看出,該木馬從15年5月11日開始推廣,平均日推廣量10萬以上,在2015年7月11日達到了64萬之多。
3.1 setup_3l.exe文件分析
樣本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戲在線
樣本運行后下載了一張圖片http://less.3gfetion.com/logo.png,該圖片尾部附加了大量的二進制數據,將其解密后得到一個名為FeiTuDll.dll的文件,并在內存中加載執行。這也是“肥兔”木馬名字的來源,以下是FeiTuDll.dll文件的屬性信息,以及PDB路勁信息。
3.2 FeiTuDll.dll 文件分析
樣本MD5:a5b262da59a352b1c4470169183e094b FeiTuDll.dll運行后,收集以下信息:
收集完成后將信息提交到http://count.tianxinli.org/player/tj.php
參數格式及說明如下:
op=install (操作)
ri= (當前進程名)
mc= (MAC地址)
vs=1.0.0.1 (木馬版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (殺毒軟件情況:360SecurityGuard、QQhousekeep、KingSoft之一或組合)
os=(操作系統版本)
sc= (屏幕分辨率)
bar= (是否網吧 1:是 0:否)
tm= (當前時間戳)
key= (以上信息的MD5校驗)
接收服務器返回的信息,判斷是否含有“az”字符設置相應的標志,木馬后臺會根據提交的MAC信息判斷此機器是否感染過,如果感染過則返回“az”,否則不返回任何信息。
隨后木馬會下載“大天使之劍”的安裝包到本地,并執行安裝。
安裝完成后根據之前是否返回“az”還決定隨后行為,如果返回“az”則退出進程,不再有其它行為;如果未返回“az”,則進行以下行為:判斷當前操作系統版本是32位或64位加載不同的資源文件,最終在臨時目錄下釋放tmp.exe和yrd.tmp,在windows目錄下釋放yre.tmp,并將yrd.tmp文件路勁作為參數執行tmp.exe。完成以上行為后判斷系統文件是否已經替換成功,并負責關閉windows文件保護相關的警告窗口。
3.3 tmp.exe 文件分析
根據操作系統類型,首先刪除dllcache目錄中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll(x86)。
3.4 yrd.tmp (Sens.dll、Cscdll.dll)文件分析
捕捉到的其中幾個廣度較大的變種MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
該文件的PDB信息如下:
該文件在系統啟動時會被winlogon進程加載,其功能是解密%windir%\yre.tmp文件并保存為%windir%\svchost.exe,最后將其執行兩次,即創建兩個進程。
3.5 %WinDir%\svchost.exe文件分析
該文件pdb信息如下:
該文件同時被執行兩次,根據互斥量來進行如下不同的分工:
1、先被執行的進程行為:
2、后被執行的進程行為:
3.6 驅動文件LKS19.tmp分析
該驅動文件具有以下功能:
3.7 SVCH0ST.exe文件分析:
該文件PDB信息如下:該模塊的功能主要是通過百度有錢推廣獲利
推廣的軟件列表如下:
對于安裝了電腦管家的用戶,無需做任何處理,管家已經能夠精準攔截該木馬及其變種。
對于未安裝管家而感染了該木馬的用戶,安裝管家后使用閃電殺毒可完美清除該木馬。