内容简介:近期,毒霸监测到一款DDOS木马的感染量呈现出上升趋势,而同时呈现出相同增长趋势的,还有部分流氓软件。经过溯源分析,我们发现上述2类软件均来自上海奇陆网络科技有限公司的一款叫做“钱蜜省钱助手”的软件。该软件除了根据云端配置文件,下载推广流氓软件外,还会劫持主页、篡改浏览器收藏夹、盗取QQ的Token在QQ部落发广告,使目标电脑变成肉鸡,进行DDOS攻击。有趣的是,该病毒下载的DDOS木马内部竟还包含一个后门,猜测该DDOS样本是在某个木马生成器中生成的,而生成器的作者又在其内部留下了后门。该病毒的主要运行流
背景描述
近期,毒霸监测到一款DDOS木马的感染量呈现出上升趋势,而同时呈现出相同增长趋势的,还有部分流氓软件。经过溯源分析,我们发现上述2类软件均来自上海奇陆网络科技有限公司的一款叫做“钱蜜省钱助手”的软件。
该软件除了根据云端配置文件,下载推广流氓软件外,还会劫持主页、篡改浏览器收藏夹、盗取QQ的Token在QQ部落发广告,使目标电脑变成肉鸡,进行DDOS攻击。有趣的是,该病毒下载的DDOS木马内部竟还包含一个后门,猜测该DDOS样本是在某个木马生成器中生成的,而生成器的作者又在其内部留下了后门。
技术分析
该病毒的主要运行流程如下:
当钱蜜安装完成后,会在安装目录释放以下文件:
qm.exe为软件主程序,该程序根据启动参数的不同,激活不同的功能:
若启动参数为/from=qm_azb,则从down.qm188.com/updatecfg2.ini下载配置文件,程序根据配置文件中的标志指令,下载安装不同的文件,以我们当前分析的程序为例,该程序获取到的标志为1,根据这个标志从down.qm188.com/updateall.7z下载得到了一个加密的压缩包文件updateall.7z:
该压缩包经过解密后,解压释放出demo.dll,该文件会继续从down.qm188.com/check.7z下载一个加密的压缩包,包内包含一个lock.dll,该DLL文件封装了针对市面上常见浏览器的劫持修改函数:
而demo.dll则主要执行:
1.篡改浏览器收藏夹,静默替换收藏项链接; 2.安装浏览器插件; 3.锁定主页为hao.360.cn/?src=lm&ls=n42a7fc6c92。
被针对进行篡改的浏览器如下:
在劫持完浏览器之后,还会安装ebuyast40510.exe和MyThirdDemo.exe,前者主是另一个助手类软件,而后者则会根据云端test.ini的配置文件,下载运行:ServiceDemo.exe、ServiceSecondDemo.exe、ServiceThirdDemo.exe,这三个程序最终通过testconfig.ini文件,下载安装所需要推广的软件以及DDOS木马、盗号木马等程序:
以下载的灭神7777.exe为例,首先从作者的网站 www.wu52q.cn/?c=Public&a=get_config 获得相关配置属性(猜测是接下来要刷回复的QQ部落信息),然后通过获取本机登录的QQ的Cookie以及Token,获得ClientKey之后构建对应的URL,快速登录QQ部落成功后,往指定bid的部落内回复指定帖子:
实际效果如下:
而下载运行DDOS木马,通过读取Nationalessgf服务是否存在来判断是否已经被感染运行。若未运行,则会连接黑客的远程服务器104.233.231.199:6366接收指令。
该DDOS木马具体接收的指令和用途如下,从部分错误的代码书写方式(指令16)来看,病毒本身还存在一些问题:
我们经过分析后发现,该木马除了常规的远控功能(DDOS攻击、远程执行文件、自更新、隐藏窗口打开浏览器等)外,其内部还竟然包含了一个额外的远控后门:
当系统时间大于2013年9月20日时,则会创建线程执行远控,远控地址为:xl.mrdarkddos.com,猜测病毒作者可能只是在网上查找到了某个远控程序的代码或者生成器,而生成的DDOS木马本身却包含了后门,可谓是忙活了半天,却为别人做了“嫁衣”:
以上所述就是小编给大家介绍的《DDoS黑吃黑:流氓软件“钱蜜”的悲催》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 黑吃黑!帐户劫持黑客论坛OGusers被黑客攻击
- 黑吃黑:盗号交易论坛Ogusers被黑客入侵后整站上传
- 黑吃黑:揭秘狗推团伙利用裸贷照片等诱惑性手段的攻击活动
- 看不惯云计算公司流氓行为,MongoDB 更改开源协议
- 看不惯云计算公司流氓行为,MongoDB 更改开源协议
- 依然干净不流氓的良心杀软!火绒5.0抢先体验
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。