安装包有鬼:深入分析流氓推广器木马的隐身手段

怪狗 2016-7-29 HACK 0 0

  一、样本信息

  病毒类型:流氓推广木马

  文件名:代练通setup_15.11.5.3.exe

  MD5: 691e97d3f69fda172cf4c78d5c202069

  文件大小:5,914,624Bytes

  加壳类型:无

  开发工具:易语言

  二、病毒介绍

  近期,360成都反病毒团队监测到一批由正规下载站发布的安装包病毒。这类病毒采用一系列技术手段躲避和干扰安全厂商,目前国内尚有多款杀毒软件无法查杀该病毒。因此我们对这批安装包病毒进行详细分析,并提醒各安全厂商注意加强检测。

  这批安装包病毒主要是一些游戏、播放器和实用工具安装程序,分析后发现,病毒作者是把一个木马程序和一个正常的安装包做成一个伪安装包,诱导用户执行。病毒样本信息如下:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图1 安装包病毒文件

  我们详细分析了一个名为“代练通setup_15.11.5.3.exe”的伪安装包。在用户运行该安装包病毒时,它会释放一个正常的安装包程序和一个木马程序CLManager.exe执行,释放的时候,CLManager.exe会被添加一些随机数据,干扰杀毒软件云查杀。正常安装包程序继续安装过程用于迷惑用户,CLManager.exe则从云端下载xger.dll模块加载运行,xger.dll除了会收集用户信息,进行流氓推广以外,还会用一个正常的白签名文件替换本地文件镜像CLManager.exe,CLManager.exe被替换后则不再启动执行,病毒以此隐蔽自己、干扰用户,同时还会影响杀软对该病毒的查杀。相关病毒模块信息如下:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图2 病毒模块

  安装包病毒完整的执行过程:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图3 病毒流程图

  三、详细分析

  1、病毒安装包

  病毒安装包是攻击者蓄意制作的,由一个正常的安装包和一个病毒主程序组成,易语言开发,启动后会释放这两个程序,正常安装包执行正常安装流程,迷惑用户,同时释放执行病毒CLManager.exe。在释放病毒CLManager.exe时,会生成一个随机数填充在文件末尾,这样使每次释放的文件MD5不同,干扰杀软云查杀。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图4 生成随机数

  2、CLManager.exe

  病毒启动后,在内存中解密执行1.dll,1.dll主要负责连接网络,从云端获取配置文件,并解密得到一个URL链接hao123.030000.cc/666.jpg,该链接指向一个jpg文件。

 安装包有鬼:深入分析流氓推广器木马的隐身手段

  图5 云端获取的下载链接

  病毒下载该jpg文件后,从文件中提取出病毒的另外一个模块xger.dll并加载执行。

  3、xger.dll

  该模块是病毒的主功能模块,启动后会创建3个功能线程执行不同的功能,同时还会用一个合法的白签名文件替换掉本地病毒文件CLManager.exe,达到更好干扰和隐藏的目的。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图6 被替换后的CLManager.exe

  功能线程1:

  线程1会判断用户的执行环境,通过进程名判断自身DLL是否运行在被打包的病毒主体中,不是则退出。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图7 检测母体进程名是否合法

  xger还会判断计算机名,如果包含”COMPUTER”和”KS-“程序则退出:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图8 检测计算机名是否合法

  通过以上病毒运行环境检查后,病毒便开始收集系统信息、杀软安装信息及是否在网吧等,并将这些信息上传到远程服务器http://hao123.5ama.com/test8.asp?number=ddd。

  功能线程2:

  线程2进一步判断计算机运行环境,主要针对用户是否安装360和是否在网吧环境进行区别对待。

  通过查找进程名ZhuDongFangYu、360SD判断电脑是否有360卫士和360杀毒在运行:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图9 检测360

  通过查找进程名wanxiang、yaoqianshu、pubwin判断程序是否运行于网吧:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图10 网吧环境判断

  环境检测后,线程2根据是否有360和是否在网吧,进行不同的推广:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图11 根据环境推广

  需要特别指出,当非网吧用户且系统没有安装360时,xger会进一步下载其他的病毒模块执行:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图12 下载病毒子模块

  功能线程3:

  线程3会检测系统环境是否正在安装杀软,尝试强制破坏:

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图13 病毒探测的杀软进程

  同时线程3会删除一些软件在开始菜单的快捷方式、桌面快捷方式和卸载程序,猜测是防止其推广的软件被卸载及隐藏自己推广软件的目的。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图14 病毒删除的内容

  4、lua51.dll

  lua51.dll是xger判断环境后进一步下载执行的模块,该模块通过与其一起被下载的白利用程序nZyTsC.exe启动,当nZyTsC.exe运行时会加载lua51.dll执行。

  lua51.dll启动后,释放白文件KZMount.exe和病毒模块Chs_Lang.dll,并将KZMount.exe添加系统启动项。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图15 lua51释放其他病毒模块

  当系统启动时,KZMount.exe自动执行, Chs_Lang.dll被其加载,Chs_Lang.dll会创建挂起的svchost.exe进程并将代码注入到svchost.exe进程中运行。

  注入后的svchost.exe进程会连接网络从云端获取数据并解密出新的URL,再从新的URL下载文件abc.jpg。注入后的svchost.exe进程再创建一个挂起的svchost.exe进程,将abc.jpg中解密得到的PE文件注入到svchost.exe运行。

  安装包有鬼:深入分析流氓推广器木马的隐身手段

  图16 虚假的svchost再执行虚假的svchost

  5、abc.jpg

  病毒从abc.jpg模块中抽取出核心代码,注入到svchost傀儡进程中执行。

  傀儡svchost会推广百度浏览器:

  

安装包有鬼:深入分析流氓推广器木马的隐身手段

  图17 下载安装百度浏览器

  此后,病毒结束掉系统已经启动的浏览器进程,然后带推广参数启动其安装的百度浏览器,如果启动失败,则带推广参数启动新的IE浏览器进程,达到推广目的。

  最后,病毒采用xger模块类似的手段上报推广信息、删除本地卸载程序与快捷方式,达到隐藏目的。

  四、防范建议

  1、尽量通过官方网站或其他安全可靠的渠道下载安装软件。

  2、如果电脑出现自动安装陌生软件、主页被篡改等异常情况,应及时查杀木马;

  3、开启专业安全软件防护,不要被木马网站误导关闭安全软件。

原文地址:https://www.77169.com/hack/201601/223687.shtm

转载请注明来自华盟网,本文标题:《安装包有鬼:深入分析流氓推广器木马的隐身手段》

喜欢 (0) 发布评论