腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种,这已经是该木马从 2014 年初首次发现以来的第三个大变种,本次全国感染量近百万。本文通过对“黑狐”木马多个版 本的分析对比,来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征 和线索,也为预知和防御新的变种寻找思路。
该木马与正常的软件“混编”,用户在打开该木马程序时,误以为是正常的 程序。由于打开过程中,没有明显的异常,且木马的主要文件是在运行后经过数轮的下 载才安装到用户机器中,在原始样本中只含有少量代码,通过文件体积等完全无法看出。
使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开,在很短的时 间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后,会进行人工分析, 而人工分析地不彻底,就会导致木马被设置为信任而不报毒。截止 3 月 31 日,黑狐木 马的母体和子体在 VirusTotal 上包括腾讯电脑管家在内只有三家报毒。
图 3. 截至目前,大部分安全厂商不报毒
该木马使用了开机回写、启动删除、驱动隐藏等技术,在电脑开机时,由系 统用木马文件替换系统文件,在木马启动后,再用备份的系统文件替换掉木马文件,因 此木马文件在系统关键位置存留的时间很短,且使用了 rootkit 技术,隐蔽性很强,绝大 多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。
图 4. 使用注册表 PendingFileRenameOperations 方式实现自启动
由于该木马驻留在 Winlogon.exe 进程中,该进程是 windows 用户登录程序, 启动地比安全软件早,而关闭地比安全软件迟。且在内核中含有 rootkit 保护驱动,即便 被扫描出来,也很难被彻底清除。
该木马是一个典型的插件型远控木马,控制者随时可以通过命令下发插件, 而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广,但只要控制者想 做,随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、个人隐私造成严 重损失。
1) 正常的界面显示、图片格式转换器
2) 创建一个线程,下载 http://adgeta.tryiuepx888.com/GetAds/? HSHZS.jpg
3) 从 jpg 文件尾部提取数据,解压后得到 HSHZS.dll,创建线程直接内存执行
4) 访问 http://tongji.tryiuepx888.com/tongji.php,将本地磁盘序号信息等上传统计
1) 加载名为 A01 的资源,解压后得到一个 PE 文件,以下将其命名为 A01.dll
2) 将 A01.dll 以远程线程的方式注入到系统 Winlogon.exe 进程中
1) 下载 http://98.126.20.182:443/HenKew 并解压,得到 HenKew.dll,内存执行
1) 下载 http://98.126.20.182:443/YA20150218 并解压,得到 YA20150218.dll,内存执行
1) 加载名为 RunWin 的资源,该资源是一个 PE 文件,取名 RunWin.dll,内存执行
1) 判断是否在 Winlogon.exe 进程或者 svchost.exe 进程
2) 创建线程,不断进行以下行为:
(1) 创建 C:/WINDOWS/System32/SET12.tmp(SET**.tmp) (2) 修改注册表 PendingFileRenameOperations,实现重启后用 SET**.tmp 替换cscdll.dll
3) 释放 C:/WINDOWS/System32/Wbem/csvcoy.xsl(csvc**.xsl)
4) 拷贝%windir%/System32/cscdll.dll 到%windir%/Wbem/cscdll.xsl
5) 连接 C&C 服务器,接收指令,目前发现的有
(1)下载文件,WinExec 执行 (2)下载文件,注入到其他进程执行
6) 加载驱动,在驱动中,实现以下两个功能
(1)在驱动中通过文件过滤隐藏 Set**.tmp、csvc**.xsl 文件 (2)创建关机回调,在系统关机时再次回写注册表和文件,保证不被清除
1) 查找并读取 csvc .xsl 文件,解压得到 csvc .dll,内存执行,csvc**.dll 同 RunWin.dll