压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近期，筆者攔截到了大量試圖通過替換windows系統文件來感染系統的木馬，經過回溯分析，發現其主要是通過偽裝成“37游戲在線”等安裝包進行推廣傳播，感染量巨大。該木馬的主要功能是鎖定瀏覽器主頁和推廣流氓軟件，木馬管家已經全面攔截和查殺。同時該木馬與之前的“黑狐”木馬在上報數據包、代碼風格、服務器分布等有極大的相似性，可以確定是同一作者所為。而通過該木馬多個樣本的pdb路徑，我們得知該木馬項目名稱為“肥兔”。

“肥兔”木馬會通過多種方式向下推廣，日均推廣量10W+，推廣后會通過替換系統文件而長期駐留在系統中，對系統穩定性和用戶的隱私安全造成極大的威脅，目前該木馬主要是通過流氓推廣和瀏覽器鎖主頁來實現盈利，如果你的瀏覽器主頁被改成www.2345.com/?32420，那么很可能就中了“肥兔”木馬。

“肥兔”木馬功能示意圖

“肥兔”木馬模塊分工示意圖

3. 木馬作者背景分析

通過反查域名tianxinli.org、3gfetion.com得到注冊信息如下：

域名：tianxinli.org

域名ID： D176563201-LROR

注冊時間： 2015-06-15T06:27:28Z

更新時間： 2015-06-15T06:27:28Z

過期時間： 2016-06-15T06:27:28Z

域名所有者：yu ying

注冊人郵件：boxiaoxiao1988@163.com

域名： 3GFETION.COM

域名ID: 1938775105_DOMAIN_COM-VRSN

注冊時間： 2015-06-15T07:23:07Z

更新時間： 2015-06-15T07:23:07Z

域名所有者： yu ying

注冊人郵件： boxiaoxiao1988@163.com

兩個域名是同一天注冊，而且是同一個人持有?？梢曰九卸?，網站持有者為病毒發布者。再通過對注冊郵箱的反查，可以看到這個組織持有很多域名，并且，故意使持有者姓名不同，來對抗社工。

將所有boxiaoxiao1988@163.com注冊的郵箱的手機號整理后，發現只指向兩個號碼。進而，通過手機號可以查到該組織成員的一些信息：

陳*?? QQ：383******?? 865*****??? Tel：15869******?? 18067******??? Email：chen*@126.com??? y*@mail.**.com

劉*?? QQ：304******?? 185******?? Tel：15957******?? 15869******??? 15957******

在QQ上發現工作郵箱，順手去看了下他們公司官網。

公司域名是由張XX注冊的，就查了下，結果：

可以看出，該公司是有過前科的，而且，剛好是做推廣的，不得不懷疑下。

接下來，就不挖作者信息了，看看統計的后臺，掃了下網站，發現源碼泄漏。拿下源碼看了看整站目錄結構、命名并不那么規范。

tj.php是木馬要訪問的，跟進去發現，它每天都會對推廣的數量進行統計。審計源碼后，發現，其對要insert的數據沒有做過濾處理。于是構造payload，用sqlmap跑起來。得到數據庫表信息如下：

后臺每天新建一張表來統計當天安裝日志以及前一天的上線日志。

隨意Dump了其中一張表，看到一個驚人的安裝數量：

從后臺數據可以看出，該木馬從15年5月11日開始推廣，平均日推廣量10萬以上，在2015年7月11日達到了64萬之多。

4、詳細技術分析

4.1 setup_3l.exe文件分析

樣本MD5：fc4631e59cf1cf3a726e74f062e25c2e

描述：37最新游戲在線

樣本運行后下載了一張圖片http://less.3gfetion.com/logo.png，該圖片尾部附加了大量的二進制數據，將其解密后得到一個名為FeiTuDll.dll的文件，并在內存中加載執行。這也是“肥兔”木馬名字的來源，以下是FeiTuDll.dll文件的屬性信息，以及PDB路勁信息。

4.2? FeiTuDll.dll 文件分析

樣本MD5：a5b262da59a352b1c4470169183e094b

FeiTuDll.dll運行后，收集以下信息：

1）通過int.dpool.sina.com.cn獲取本機外網IP及歸屬地等信息；

2）檢測本機殺軟安裝情況：檢測是否存在zhudongfangyu.exe等360系進程、QQPCTray.exe等管家系進程、kextray.exe等金山系進程；

3）檢測本機是否為網吧機器：通過檢測wanxiang.exe、yaoqianshu.exe等進程來判斷是否是網吧機器；

4）本機MAC地址；

5）本機操作系統版本

收集完成后將信息提交到http://count.tianxinli.org/player/tj.php

參數格式及說明如下：

op=install （操作）

ri= （當前進程名）

mc= （MAC地址）

vs=1.0.0.1 （木馬版本）

dq= （int.dpool.sina.com.cn返回的IP等信息）

sd= （殺毒軟件情況：360SecurityGuard、QQhousekeep、KingSoft之一或組合）

os=（操作系統版本）

sc= （屏幕分辨率）

bar= （是否網吧 1：是 0：否）

tm= （當前時間戳）

key= （以上信息的MD5校驗）

接收服務器返回的信息，判斷是否含有“az”字符設置相應的標志，木馬后臺會根據提交的MAC信息判斷此機器是否感染過，如果感染過則返回“az”，否則不返回任何信息。

隨后木馬會下載“大天使之劍”的安裝包到本地，并執行安裝。

安裝完成后根據之前是否返回“az”還決定隨后行為，如果返回“az”則退出進程，不再有其它行為；如果未返回“az”，則進行以下行為：判斷當前操作系統版本是32位或64位加載不同的資源文件，最終在臨時目錄下釋放tmp.exe和yrd.tmp，在windows目錄下釋放yre.tmp，并將yrd.tmp文件路勁作為參數執行tmp.exe。完成以上行為后判斷系統文件是否已經替換成功，并負責關閉windows文件保護相關的警告窗口。

4.3 tmp.exe 文件分析

根據操作系統類型，首先刪除dllcache目錄中的Sens.dll或Cscdll.dll（x86）；然后用yrd.tmp替換system32目錄中的Sens.dll或Cscdll.dll（x86）。

4.4 yrd.tmp （Sens.dll、Cscdll.dll）文件分析

捕捉到的其中幾個廣度較大的變種MD5如下：

f749521e9e380ecefec833d440400827

8ccf78082effa9cd3eaffbeb2a04039f

4bf8a7fd3a91e47d816cab694834be65

a18d30fef0a73cce4131faf2726adfdb

8c10cc9cde85457b081ecf7cba997019

該文件的PDB信息如下：

[000.png]

該文件在系統啟動時會被winlogon進程加載，其功能是解密%windir%\yre.tmp文件并保存為%windir%\svchost.exe，最后將其執行兩次，即創建兩個進程

4.5 %WinDir%\svchost.exe文件分析

該文件pdb信息如下：

該文件同時被執行兩次，根據互斥量來進行如下不同的分工：

1、先被執行的進程行為：

1）釋放LKS19.tmp驅動文件并加載

2）創建名為sysPipa的管道接收命令

3）與驅動進行通信，將命令傳遞給驅動

2、后被執行的進程行為：

1）獲取本機各種信息發送到http://count.tianxinli.org/player/tj.php，參數格式與FeiTuDll.dll相同。

2）查找殺軟進程，并將pid傳遞給sysPipa管道，用于結束殺軟進程

3）從以下地址下載文件到本地執行，在本地存儲為SVCH0ST.exe

http://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497

4）關閉UAC

4.6 驅動文件LKS19.tmp分析

該驅動文件具有以下功能：

1）注冊CreateProcess回調，通過給瀏覽器進程添加命令行的方式實現主頁鎖定

2）根據命令修改鎖定的主頁地址

3）根據命令，結束指定的進程

4）根據命令，hook指定的SSDT表函數

4.7 SVCH0ST.exe文件分析：

該文件PDB信息如下：該模塊的功能主要是通過百度有錢推廣獲利

推廣的軟件列表如下：