PotPlayer播放器极致优化版木马分析报告

近期360安全卫士在软件下载站拦截到了利用PotPlayer播放器传播的远控木马，该木马巧妙的利用了正常文件和加密脚本，通过内存解密载入恶意代码，进行远控。通过检测多个安全进程，改变自身运行流程，对抗杀软查杀。主要功能是：记录键盘输入，盗取用户的账号信息以及远程下载其他木马，隐蔽性非常高，而且通过下载站大量的传播。

木马传播

木马文件通过下载站和论坛传播，经常以“精简”，“优化”和“破解”等标题吸引用户下载。

木马行为详解

木马利用了白加黑技术来躲避查杀，并且采用了多个脚本文件和多次加密，具体流程如下：

木马脚本部分：

木马安装包释放的桌面快捷方式指向一个名称为PotPlayerMinis.exe的正常程序。

该程序会默认自动读取同目录下gamepatch文件夹下的config.ini配置文件。

PotPlayerMinis.exe读取gamepatch中的config.ini配置文件。以配置项InstParam指定的参数运行InstFile配置项指定的程序suchost.exe（其实是NirCmd.exe），从而实现把PotPlayerMinis.exe拷贝到配置文件所在路径下，重命名为svhost.exe，启动配置项mainExe指定的程序的目的。

svhost.exe以相同的方式读取同路径下的\\gamepatch\\config.ini，依次执行配置文件中指定的程序。

svhost.exe通过cmd.exe运行C:\\PotPlayer\\gamepatch\\gamepatch\\gamepatch\\config.ini指定的脚本C:\\PotPlayer\\gamepatch\\gamepatch\\updete.bat。

C:\\PotPlayer\\gamepatch\\gamepatch\\updete.bat文件经过简单的混淆。该脚本主要功能是为后续木马程序的运行准备相关文件并启动主要脚本qiaoi.bat。

具体功能包括：

重命名PotPlayer\\gamepatch\\gamepatch\\config.xml为config.ini，并把该文件拷贝到PotPlayer\\gamepatch\\路径下。为后续启动PotPlayer的正常播放器功能做准备。

判断%TEMP%\\下是否存在bug0.txt，如果不存在就创建bug0.txt并保存脚本当前路径到bug0.txt。

创建C:\\HTEMP0文件夹，创建%TEMP%\\qr.tmp保存字符串Rar文件头，并与 \\gamepatch\\gamepatch\\update.tmp文件重新组建成一个完整的RAR压缩包，拷贝到C:\\HTEMP0\\路径下，重命名为uqdate.dat

拷贝gconfig.ini到%APPDATA%下，重命名为payerss.ini。拷贝cfwd.dat到%TEMP%下。拷贝updatej.tmp到C:\\HTEMP0\\下。（updatej.tmp其实是winrar.exe的命令行程序）

调用updatej.tmp解压缩C:\\HTEMP0\\uqdate.dat中的 qiaoi.bat到C:\\HTEMP0\\路径下。（解压密码是p（小写））

最终运行C:\\HTEMP0\\qiaoi.bat脚本。

文件bat同样是经过简单混淆的脚本。该脚本功能比较复杂，包括解压配置文件，重组PE文件，判断正在运行的杀软进程，根据不同杀软改变运行流程等。

重要功能包括：

从dat中解压缩 ForceLibrary.tmp，恢复文件的MZ标志，组成一个完整PE文件。这个PE文件名是随机的，暂且叫xx.DLL。

判断杀软同时判断用户是否感染其他木马，改变后续程序运行流程。

脚本qiaoi.bat会依次检测360tray.exe、QQPCTray.exe、ns.exe和kxetray.exe是否存在，如果全都不存在，脚本会直接启动rundll32，来加载C:\\HTEMP0\\xx.dll（脚本随机dll名称），调用导出函数TrapEntry。TrapEntry会解压缩C:\\HTEMP0\\uqdate.dat中的bhdll.dat到%TEMP%路径下，然后内存解密该文件。该文件就是1号傀儡进程的寄生程序。