专栏首页FreeBuf远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。

近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配置文件(setup.ini)便实现了对白程序的劫持,让正规软件的安装程序转眼变成木马安装的温床。

远控木马入侵后,会趁中招者不注意安装Teamviewer等远程工具,进一步伺机窃取中招者的网银及游戏账号,实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示,该木马自7月11日集中爆发以来一直阴魂不散,更出现过多次小规模反弹,未来不排除利欲熏心的不法分子持续作案的可能。

下面以“迅雷9.1尊贵破解版”为例进行简要分析:

图1

文件相关性如下图所示:

图2

安装过程:

绿化.exe:将Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行:

通过比对迅雷官方文件发现官网包里并没这个文件。

XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目,同时还执行了SDK目录下的AssistantTools.cmd。

而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序,它会通过setup.ini的配置,安装软件。这个程序被木马利用,成为了木马的安装器。

setup.ini中的内容:

Setup.ini中,执行的lobaby.pif实际是NirCmd,它是一套功能齐全的命令行工具,被攻击者用来执行木马安装,而执行的指令存储在2345Picture.log中。

2345Picture.log中内容为一段批处理:

head+tale为完整的木马PE

QMDL.exe文件是一个被木马利用的正常程序,会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。

图10

QMcommon.dll 利用zc.inf文件写启动项:

会将一段类似安装驱动的inf(主要用于添加QMDL.exe到启动项)写入到c:windowsTempzc.inf里,并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向:

创建zc.inf:

写入Zc.inf文件中的内容如下:

QMcommon.dll:还会加载解密gif.txt内存执行

到此为止,木马完成了安装。

危害:

加载解密gif.txt内存执行之后是一个远程控制程序,其CC服务器为:hayden.vancleefarpelspro.com

测试时连接到的是一个广东佛山顺德区的一个ADSL IP:219.128.79.36

![揭秘假破解工具背后的盗刷暗流](http://image.3001.net/images/20170817/15029643418926.png!small)

我们回头再看安装的所谓迅雷尊贵破解版,并没有实现什么功能上的破解,使用会员功能仍然需要充值。

顺便还看到了被打包迅雷之前的下载列表,满满的加壳工具!

回到这款远控,黑客在用户离开机器时,远程安装Teamviewer等远程工具,并在受害人完全不知情的情况下通过记住密码的旺旺登录淘宝、支付宝,进行购买礼品卡或转帐等操作。

根据360的观察,该木马从7月11日开始集中爆发,在7月14日达到3500次的传播量。后在8月初的时候又出现了一波小的反弹,之后的传播则逐渐下降。

与之对应的域名访问趋势也是类似:

360安全卫士早已防御查杀该远控木马,在此建议广大网民,想获取VIP权限,还是通过正规渠道进行办理。如果想使用破解工具,也一定要在安全软件的保护下运行,一旦安全软件进行风险预警,切勿抱有侥幸心理继续安装运行。

本文分享自微信公众号 - FreeBuf(freebuf),作者:360安全卫士

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 来自云端的木马:“百家”木马集团分析

    0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

    FB客服
  • 神话传奇:一款通过卖号在微信群传播的远控木马

    近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情...

    FB客服
  • 揭秘:针对中国移动用户的强大网银木马剖析

    我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移...

    FB客服
  • 群友问了道3行代码的python面试题,我懵逼了...

    第一眼看,不就是匿名函数吗?但是仔细想想匿名函数在平时的开发中没怎么用,所以也忘的差不多了。例如那个m(2)当时就不懂是啥意思了。

    Python进击者
  • python基础 面向对象编程

    面向对象编程的基本思想   类和实例     类用于定义抽象类型     实例根据类的定义创建出来 python 定义类并创建实例   在python 中,通过...

    用户1197315
  • 王峰十问蔡文胜:BEC美链究竟是不是美图上市公司的资产?

    区块链大本营
  • Python 部署spider框架

    查看python路径, 将phantomjs.exe和python.exe放在同一目录下

    py3study
  • Softmax的理解与应用

    Softmax在机器学习中有非常广泛的应用,但是刚刚接触机器学习的人可能对Softmax的特点以及好处并不理解,其实你了解了以后就会发现,Softmax计算简单...

    AngelNH
  • 机器学习之Softmax回归模型

    Softmax在机器学习中有非常广泛的应用,但是刚刚接触机器学习的人可能对Softmax的特点以及好处并不理解,其实你了解了以后就会发现,Softmax计算简单...

    week
  • 《P4语言规范》parser详解

    前言 为深入研究P4语言相关规范及运行操作使用,本系列文章根据P4.org网站给出的《The P4 Language Specification v1.0.2》...

    SDNLAB

扫码关注云+社区

领取腾讯云代金券