鲁达 去年6月,360安全卫士对“灵隐”木马做了预警(http://weibo.com/1645903643/F994hxC0Y?filter=hot&root_comment_id=0&type=comment#_rnd56)。最近一段时间,这伙木马又开始活跃,我们也接到不少网友反馈称受到木马干扰,浏览器被篡改,部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。
传播:
此类木马传播,仍然是通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。
通过分析传播者的文件列表可以看到作者打包了几十款外挂用来传播这一木马:
有近400多个文件分享记录:
安装:
木马在安装过程中,会检测是否有360杀毒,360安全卫士等安全软件运行,如果有则木马不进行安装。
这也是木马需要通过外挂打包传播的一个原因,使用外挂时,用户可能会关闭杀毒软件,给木马可乘之机!
当关闭杀软之后,这个外挂开始下载木马到本地执行j[.]92dz.win:8080/bag
分析时捕获的下载木马:
木马释放一对dll劫持程序
通过注册Installed Components实现开机自启动:
之后木马启动并挂起(如果安装有360会试图启动360De并注入)
将恶意代码写入到内存中并恢复进程
危害:
- 劫持浏览器,篡改浏览器快捷方式
木马会篡改数十款浏览器的快捷方式,添加导航。
向任务栏锁定快捷方式
2.删除系统中安装的某些软件。
木马会通过注册表查找ADSafe安装目录,如果发现则结束ADSa和ADSa进程,并删除整个ADSafe安装目录(猜测是防止ADSafe影响其推广的导航收入)
3.进行软件推广
木马会常驻系统,并定时访问云控列表,将加密的列表下载到%Temp%\da文件中
解密后可以看到其推广列表:
其中,开头部分的页面为推广导航页,用于修改浏览器首页
后半部分内容为推广软件列表,可以进行云控推广。
4.进行木马更新并与防护软件对抗
木马在%windir%\font目录下保存了多个配置文件
HX_Pro
ZT_Exe.ttf
ZT_Dll.ttf
HX_EXE_Pid.ttf
其中,ZT_Exe.ttf和ZT_Dll.ttf分布记录被利用exe和木马dll的路径。
HX_EXE_Pid.ttf这个记录当前木马进程PID
HX_Pro这个记录当前已被修改的首页
木马内部还内置了一组木马更新地址:
目前更新地址传播的是一组迅雷的DLL劫持程序,功能上和之前安装的木马完全一致。
同时,木马会循环查找两个窗口,若发现类名为“360ClassUploadFileNotify”的窗口,则会模拟鼠标点击其按钮。猜测是要退出该窗口。
而若发现类名为“TXGuiFoundation”的窗口,则将其隐藏
另外我们发现这款木马,也会通过进程列表判断网吧环境或系统中是否有影子系统。
如果在网吧系统中,一些劫持功能不会执行。
非网吧系统下,会释放mydll.dll并设置为隐藏
完成后,加载该dll
该dll主要做浏览器劫持,但由于木马调用时出错,导致该调用会崩溃。
追溯:
这个木马从4月30号出现以来经历了几次大规模传播,下面是我们统计到的木马的传播趋势。
通过对其CC域名的注册信息查询
可以看到域名是:
烟台润秋网络科技有限公司 主体注册的
同一个邮箱还注册了域名 但访问量一直不高
而通过这家公司( 烟台润秋网络科技有限公司)官方主页发现了一个联系QQ,我们在传播木马的网盘下边也发现了同样的联系方式。
因为域名注册信息,网站信息并不一定真实,但木马的控制和传播方的信息一致,由此我们猜测,456网盘维护者和“灵隐”木马的维护者应该是同一伙人。
另外,我们发现的传播源还包括789网盘(789xz.com),从注册用户名看,是同一个维护者。
360安全中心再次提醒广大网友,使用外挂时也应开启杀毒软件,如果杀软已经识别为木马的外挂,切不可再去尝试!
原创文章,作者:360安全,转载自: