请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题

360社区

360社区


近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。




一、主要流程

带木马的荒野求生辅助以免费形式发布在布衣论坛中


360社区

360社区


带木马的荒野求生辅助运行后界面如下


360社区

360社区


该荒野求生辅助被用户下载运行后会释放运行两个木马文件:“过CRC检测.exe”和“防封插件.exe”。其中“防封插件.exe”,是一个远控木马,可以窃取用户电脑中的信息,下载执行任意文件。另外一个“过CRC检测.exe”,是一个DDOS木马,根据黑客指令进行定向攻击。


360社区

360社区




二、防封插件.exe

防封插件.exe是一个加密木马的载体,该文件运行时会解密出具有远控功能的dll文件,并在内存中加载执行。


1、解密dll木马

木马作者加密木马程序后,把加密数据作为全局变量存储在防封插件.exe程序的全局数据区。


360社区

360社区


解密木马的功能位于防封插件.exe程序的异常处理里。由程序主动抛出整型异常,进入相应的异常处理函数,解出木马。




解密后的木马是一个dll文件。


360社区

360社区


2、内存加载dll木马

防封插件.exe通过PELoader的方法,在内存中映射解密后的dll文件,并调用Dllmain执行。




然后计算导出函数ForShare82的位置,调用导出函数。至此,木马本体已经完整加载到内存并运行。


360社区

360社区


3、Dll木马功能

Dll木马具有远控功能,控制服务器地址:27.126.188.68,端口:522。该程序包含键盘记录、下发文件、注册表控制、服务控制等功能。


360社区

360社区


键盘记录功能:判断键盘输入的内容,然后格式化键盘信息,过滤特殊按键(SHITF、CTRL等),最后重组成完整的输入信息,写入文件。



360社区

360社区

截屏功能:获取分辨率信息,然后进行截屏操作。



360社区

360社区

其他控制功能:






三、过CRC检测.exe

过CRC检测.exe程序根据注册表项SYSTEM\\CurrentControlSet\\Services\\.Net CLR是否存在,判断程序是否第一次运行,首次运行会执行不同流程。



360社区

360社区

1、首次运行的执行流程

将自身以随机文件名拷贝到windows目录下



360社区

360社区

将拷贝后的文件注册为自动启动的服务,服务名.Net CLR。


360社区

360社区


修改服务描述信息为:Microsoft .NET COM+ Integration with SOAP以进一步迷惑用户。



360社区

360社区


写注册表项SYSTEM\\CurrentControlSet\\Services\\.Net CLR。


360社区

360社区


删除原始木马文件。

360社区

360社区




2、.Net CLR服务程序执行流程

由于首次运行时注册了服务,所以样本作为服务二次启动的时候就会进入另一个流程。


1)创建互斥体“.Net CLR”


360社区

360社区


2)释放hra33.dll(这是一个lpk劫持dll),紧接着便更新dll的资源,然后加载dll。


360社区

360社区


hra33.dll被加载之后,DllMain中立即运行恶意行为,遍历用户磁盘文件,每当发现一个exe文件时,便将自身拷贝到exe文件目录下,并将自身重命名为lpk.dll。


360社区

360社区


3)创建局域网传播线程,尝试弱口令连接局域网内的用户,将自身拷贝到本地磁盘和局域网共享目录的C、D、E、F盘下并重命名为g1fd.exe,其中成功拷贝至C、D、E盘时,会以计划任务的方式直接启动。


360社区

360社区


局域网传播中用到的部分用户名和弱口令

360社区

360社区



4)创建三个远控线程。三个线程的控制功能是一致的,但连接的服务器不同,此外前2个线程会验证系统时间,当时间大于2013/2/21才会创建控制线程。


360社区

360社区


远控线程1的连接,实测是无效连接。


360社区

360社区


远控线程2的远程连接c&c 地址(z*******g.bid)端口是20199


360社区

360社区


远控线程3的连接,服务器地址是加密的,解密后是27.126.188.68:520


360社区

360社区


5)远控线程的主要功能


下载执行任意文件


360社区

360社区


DDOS攻击

360社区

360社区



使用远程命令行参数启动IE

360社区

360社区



更新木马文件


360社区

360社区


卸载自身




360社区

360社区


四、溯源

通过对恶意样本的分析,找到了域名z*******g.bid,通过域名反查定位到域名相关的注册邮箱和联系电话。


360社区

360社区


通过邮箱和手机定位到相关信息如下


360社区

360社区




五、木马的查杀

如果发现来历不明的文件,通过360安全卫士进行查杀,该远控木马已经第一时间被360杀毒查杀,请广大用户在使用安装包及时扫描查杀,避免使用未知来源的可疑软件。

360社区

360社区


来源 360安全卫士




共 1 个关于吃鸡辅助远控木马分析的回复 最后回复于 2018-4-23 10:52

评论

直达楼层

飞机飞行 超级版主 楼主 发表于 2018-4-23 10:52 | 显示全部楼层 | 私信
安装360安全卫士进行查杀
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:181 关注:13 积分:237239

精华:307 金币:228620 经验:198172

最后登录时间:2024-3-29

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表