“黑狐”木马详细分析

木马简介

腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种,这已经是该木马从2014年初首次发现以来的第三个大变种,本次全国感染量近百万。本文通过对“黑狐”木马多个版本的分析对比,来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征和线索,也为预知和防御新的变种寻找思路。

1、伪装性好

该木马与正常的软件“混编”,用户在打开该木马程序时,误以为是正常的程序。由于打开过程中,没有明显的异常,且木马的主要文件是在运行后经过数轮的下载才安装到用户机器中,在原始样本中只含有少量代码,通过文件体积等完全无法看出。

14278781404442

图1. 运行后的木马界面

14278781753968

图2. 木马的下载流程图

2、传播迅速

使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开,在很短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后,会进行人工分析,而人工分析地不彻底,就会导致木马被设置为信任而不报毒。截止3月31日,黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有三家报毒。

14278782402497

14278782434840

图3. 截至目前,大部分安全厂商不报毒

3、隐蔽性强

该木马使用了开机回写、启动删除、驱动隐藏等技术,在电脑开机时,由系统用木马文件替换系统文件,在木马启动后,再用备份的系统文件替换掉木马文件,因此木马文件在系统关键位置存留的时间很短,且使用了rootkit技术,隐蔽性很强,绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。

14278783129885

图4. 使用注册表PendingFileRenameOperations方式实现自启动

4、难以清除

由于该木马驻留在Winlogon.exe进程中,该进程是windows用户登录程序,启动地比安全软件早,而关闭地比安全软件迟。且在内核中含有rootkit保护驱动,即便被扫描出来,也很难被彻底清除。

5、危害严重

该木马是一个典型的插件型远控木马,控制者随时可以通过命令下发插件,而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广,但只要控制者想做,随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、个人隐私造成严重损失。

14278783686202

图5. “黑狐”木马模块分工示意图

详细分析

HSHZS.exe行为:

1) 正常的界面显示、图片格式转换器

2) 创建一个线程,下载 http://ad*.tr*8.com/Ge*s/? HSHZS.jpg

3) 从jpg文件尾部提取数据,解压后得到HSHZS.dll,创建线程直接内存执行

4) 访问http://to*.tr*.com/tongji.php,将本地磁盘序号信息等上传统计

1427878691434

图6. 木马的下载和统计链接

HSHZS.dll行为:

1) 加载名为A01的资源,解压后得到一个PE文件,以下将其命名为A01.dll

2) 将A01.dll以远程线程的方式注入到系统Winlogon.exe进程中

1427878501603

图7. 将A01资源解压后以远程线程的方式插入winlogon.exe

A01.dll行为:

1) 下载http://98.126.20.182:443/HenKew并解压,得到HenKew.dll,内存执行

14278785291261

图8. 下载指定URL的数据到本地执行,根据配置有两种方式,WinExe和直接内存执行

HenKew.dll行为:

1) 下载http://98.126.20.182:443/YA20150218 并解压,得到YA20150218.dll,内存执行

14278785659992

图9.每个模块的下载代码都使用的同一套代码,支持http、https、ftp三种方式的URL

YA20150218.dll行为:

1) 加载名为RunWin的资源,该资源是一个PE文件,取名 RunWin.dll,内存执行

14278791101224

图10. 提取RunWin资源,并执行,RunWin才是正式的木马体

RunWin.dll行为:

1) 判断是否在Winlogon.exe进程或者svchost.exe进程

2) 创建线程,不断进行以下行为:

①创建C:\WINDOWS\System32\SET12.tmp(SET**.tmp)

② 修改注册表PendingFileRenameOperations,实现重启后用SET**.tmp替换cscdll.dll

3) 释放C:\WINDOWS\System32\Wbem\csvcoy.xsl(csvc**.xsl)

4) 拷贝%windir%\System32\cscdll.dll到%windir%\Wbem\cscdll.xsl

5) 连接C&C服务器,接收指令,目前发现的有

①下载文件,WinExec执行

②下载文件,注入到其他进程执行

6) 加载驱动,在驱动中,实现以下两个功能

①在驱动中通过文件过滤隐藏Set**.tmp、csvc**.xsl文件

②创建关机回调,在系统关机时再次回写注册表和文件,保证不被清除

SET**.tmp行为:(重启使用)

1) 查找并读取csvc**.xsl文件,解压得到csvc**.dll,内存执行,csvc**.dll同RunWin.dll

14278792021256

1427879203395142787991117

14278792049517

14278792058636

14278792076958

图11.木马安装过程

14278792394091

图12. 该木马的特征之一:运行过程中会生成很多KB*.dat的中间文件

文章来源:FreeBuf黑客与极客(FreeBuf.COM)

 

上一篇:利用QQ昵称反弹连接木马技术分析

下一篇:信息防泄漏:解密特洛伊