“大黄蜂”远控挖矿木马分析与溯源

事件背景：

近日，腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现，此类木马不仅保留了远控的功能，而且随着虚拟货币价格的水涨船高，木马加入了挖矿的功能，用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现，木马作者还在频繁的更新木马功能、感染用户量也在迅速增加，值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。

现象与危害：

感染现象

感染该类木马后，您的计算机CPU经常占用 100%，并且 会发现常驻进程 winInit.exe。同时，查看启动的服务，会发现名为Apache Tomcat 9.0 Tomca9 的服务处于启动状态。

影响范围：

通过访问黑客的服务器，可以看到恶意程序 xz.exe和xz32.exe 都有上万的下载量。 并且，通过观察发现，每日新增下载量也不断增大， 病毒程序感染了越来越多的受害者。

技术分析：

通过分析发现，该木马启动后，会释放多个可执行文件，我们按其 实现的不同的 功能，将这些可 执行程序，划分为远控模块、挖矿模块和清理模块三个模块，分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀。

下面我们将从技术细节上详细介绍下主要的模块 。

远控模块

1. 888.exe运行后会从 资源里释放dll 文件，并命名为随机名。接着 ， 888.exe 会将释放的dll文件注册为RemoteAccess服务 项 ，并通过从新启动服务已得到加载该dll。

该dll加载后，会删除系统log日志，并将自身复制为%ProgramData%\Aebblnroq.psd ，同时，还会向 %ProgramData%\Aebblnroq.psd写入大量随机数以躲避云查， 但我们发现，有 一定的几率会把%ProgramData%\Aebblnroq.psd文件写坏，导致无法正常运行。接着会 注册%ProgramData%\Aebblnroq.psd 为Tomcat9 服务：

2. 8881.exe运行后会在%TEMP%目录 释放随机名的dll文件，并调用其导出函数Install ，安装该dll为服务名为Microsoft Corporationot的 服务。

服务启动后，获取、加密用户计算机版本信息等隐私信息发送到服务器，并等待服务器的远控指令 。

通过对发送数据以及加密方式的分析，我们可以看出发送的数据和加密方式和Gh0st远控非常相似，可以认定其为Gh0st远控的变种：

（解密后的数据）

3. server.exe运行后会复制自身为随机名，并在文件最后填充大量的0，使得大小可以有20多M，用来躲避云查。随后 将该文件注册为系统服务。

挖矿模块

木马启动后会在%TEMP%目录下释放xmrigbu.exe 可执行文件，该可执行文件首先会将自身复制到%windir%\w1ninit.exe ：

w1ninit.exe运动后会创建%TEMP%\win1nit\win1nit.exe用于 挖矿，该文件由UPX加壳 保护。通过分析发现，%TEMP%\win1nit\win1nit.exe 会首先访问服务器获取挖矿信息，包括矿池、矿工ID等，随后会配置好参数进行挖矿 ：

我们可以看到服务器返回的矿池和矿工信息，通过查询矿工的收益 ，可以看到不长时间内，已经挖到了 14个Monero币，按当前<img src="https://chart.googleapis.com/chart?cht=tx&chl=120%E7%9A%84%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E4%BB%B7%E6%A0%BC%E7%AE%97%EF%BC%8C%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E5%B7%B2%E7%BB%8F%E6%94%B6%E7%9B%8A" alt="120的价格算，已经收益"> 1680，折合人民币10840元。

清理模块

恶意木马运行最后会创建%TEMP%\ ~DeL!.bAt文件， 用来删除自身， 从而达到隐藏的 目的。

溯源：

由上边的分析可以看到该木马访问了7.me和6.me 两个域名，查询其ip地址为50...38 ，位于美国境内。 查询域名的whois信息发现，其whois信息有隐私保护，未能查到有效的信息：

我们通过访问黑客的服务器，跟踪发现服务器 出现了一个名为“桌面.zip ”的压缩包文件 。下载解压缩该文件，其中有一个名为“何以解忧Ver6.3s.exe” 的 文件，该文件为.Net编写，通过分析该 二进制里边包含的 链接地址www.0*.com ，经由whois查询 ，我们得知了一些黑客作者的信息：

其中，可以看到，该域名注册者名为Huang Feng， 地址为福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu )，电话为1320024，[邮箱为10**60@qq.com]

(mailto:%E9%82%AE%E7%AE%B1%E4%B8%BA10**60@qq.com)。从邮箱地址我们可以得到域名注册者的QQ号码为10**60。通过这些信息，我们可以对该木马作者做出 更加 详细的画像。

通过域名注册者的电话号码查询其支付宝帐号，我们可以看到其地区为福建泉州，与域名whois注册信息相符，可以确定whois注册信息 的准确性。 由于支付宝帐户名称和真实姓名有隐私保护，我们暂为得知其真实姓名和支付宝注册邮箱信息。

通过在搜索引擎上查询其QQ号码，可以看到该木马作者活跃于各类工具类论坛，热衷于提权、DDoS 、僵尸网络等技术：

接着，我们查询其QQ信息，得知木马作者年龄可能在18岁左右：

我们进一步去访问其QQ空间，可以看到其相册封面是只黄蜂，同时 ，相册里有张王者荣耀的截图，得知其王者荣耀帐号名称为“bumblebees” ，为大黄蜂的意思。 通过 分析的照片可以看到作者应该年纪不大。其中一个相册需要密码访问，而密码提示为“啥子学校”，可以间接印证木马作者应该还在上学或刚毕业 ，与QQ登记的 18岁相符合。

通过以上的溯源分析，我们可以得到该木马作者的基本画像：

年龄：18岁 地址：福建泉州市 爱好：黑客工具、论坛；王者荣耀

目前，腾讯电脑管家和哈勃分析系统均可以准备识别该类病毒，安装电脑管家的用户无需担心感染该病毒 。