远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

释放双眼,带上耳机,听听看~!
如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆

如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。

近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配置文件setup.ini)便实现了对白程序的劫持,让正规软件的安装程序转眼变成木马安装的温床。

远控木马入侵后,会趁中招者不注意安装Teamviewer等远程工具,进一步伺机窃取中

招者的网银及游戏账号,实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示,该木马自711日集中爆发以来一直阴魂不散,更出现过多次小规模反弹,未来不排除利欲熏心的不法分子持续作案的可能。

下面以“迅雷9.1尊贵破解版”为例进行简要分析:

1.jpg

文件相关性如下图所示:

2.jpg

安装过程:

绿化.exe:Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行:

通过比对迅雷官方文件发现官网包里并没这个文件。

3.jpg

XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目,同时还执行了SDK目录下的AssistantTools.cmd

4.jpg

而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序,它会通过setup.ini的配置,安装软件。这个程序被木马利用,成为了木马的安装器。

setup.ini中的内容:

5.jpg

Setup.ini中,执行的lobaby.pif实际是NirCmd,它是一套功能齐全的命令行工具,被攻击者用来执行木马安装,而执行的指令存储在2345Picture.log中。

2345Picture.log中内容为一段批处理:

6.jpg

7.jpg

head+tale为完整的木马PE

8.jpg

9.jpg

QMDL.exe文件是一个被木马利用的正常程序,会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。

10.jpg

QMcommon.dll 利用zc.inf文件写启动项:

会将一段类似安装驱动的inf(主要用于添加QMDL.exe到启动项)写入到c:\windows\Temp\zc.inf里,并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向:

13.jpg

创建zc.inf:

14.jpg

写入Zc.inf文件中的内容如下:

15.jpg

QMcommon.dll:还会加载解密gif.txt内存执行

16.jpg

到此为止,木马完成了安装。


危害:

加载解密gif.txt内存执行之后是一个远程控制程序,其CC服务器为:hayden.vancleefarpelspro.com

测试时连接到的是一个广东佛山顺德区的一个ADSL IP219.128.79.36

17.jpg

18.jpg

19.jpg

我们回头再看安装的所谓迅雷尊贵破解版,并没有实现什么功能上的破解,使用会员功能仍然需要充值。

20.jpg

顺便还看到了被打包迅雷之前的下载列表,满满的加壳工具!

21.jpg

回到这款远控,黑客在用户离开机器时,远程安装Teamviewer等远程工具,并在受害人完全不知情的情况下通过记住密码的旺旺登录淘宝、支付宝,进行购买礼品卡或转帐等操作。

22.jpg

根据360的观察,该木马从711日开始集中爆发,在714日达到3500次的传播量。后在8月初的时候又出现了一波小的反弹,之后的传播则逐渐下降。

blob.png

与之对应的域名访问趋势也是类似:

blob.png

360安全卫士早已防御查杀该远控木马,在此建议广大网民,想获取VIP权限,还是通过正规渠道进行办理。如果想使用破解工具,也一定要在安全软件的保护下运行,一旦安全软件进行风险预警,切勿抱有侥幸心理继续安装运行。

blob.png

给TA买糖
共{{data.count}}人
人已赞赏
系统安全

安全狗漏洞预警:NetSarang的Xmanager和Xshell多种产品源码被植入后门

2017-8-15 10:33:26

系统安全

“双子星”文档攻击预警 - 新型的跨平台恶意文档攻击分析报告

2017-8-25 11:50:56

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索