电脑管家 > 安全看点 > 电子票潜伏者 腾讯电脑管家独家查杀

电子票潜伏者 腾讯电脑管家独家查杀

2014-09-10 15:47 来源:未知 作者:电脑管家
【文章摘要】从木马特征来看,这是一个大规模抓鸡木马,中了此木马,电脑就被暴露在黑客控制下,成为僵尸网络的一部份。木马主要通过发送航空电子票的方式传播,并以附件方式发送,木马的

一、 木马概述
       从木马特征来看,这是一个大规模抓鸡木马,中了此木马,电脑就被暴露在黑客控制下,成为僵尸网络的一部份。木马主要通过发送航空电子票的方式传播,并以附件方式发送,木马的图标为doc文件的图像,极具诱惑性。日传播用户量上万,是目前抓到的传播范围比较广的后门程序。


数据显示,从2014年8月28日--2014年9月4日,电脑管家从SNS邮箱渠道,共检出28336个“电子票潜伏者”变种样本,统计图表如下:


通过对传播源的追溯,得到传播源发邮件邮箱的IP地址,如下图表,邮件总量:37134。从图表中可以得到“钓鱼邮件“来自世界各地,其中美国占大部分。


       从木马服务器的指令可以看出,黑客通过分组分类实现大量“肉鸡”自动化管理,维护僵尸网络。木马通过两次“换身脱壳”最终创建svchost.exe傀儡进程。木马值入电脑后,并不会大张旗鼓地“办事”,而是访问远程服务,请求指令,接受指令后才办事。通信采用http方式,数据采用非对称加密算法加密,样本里保存通信的公钥,服务器保存私钥。与食猫鼠有点相似,新模块不会落地,都是在内存中运行。指令有休眠指令(可以sleep 10天甚至一个月)、有下载新模块指令、有更新程序指令、有自毁指令(清除痕迹自卸载)等。而且有反虚拟机和抓包工具的行为。

后门的服务器主要在如下几个国家:



二、分析过程



       1第一次“换身脱壳”
创建母体进程,创建进程,通过WriteProcessMemory写入shellcode和修改PEB的映像基址,然后调用ResumeThread让线程跑起来执行shellcode的行为。退出进程。

CALL 到 CreateProcessA 来自 a5fac160.4F4013C6

|ModuleFileName = "C:\Documents and Settings\Administrator\桌面\DeltaTicket_ET-RM-OHJ423891156.exe"

|CommandLine = NULL

|pProcessSecurity = NULL

|pThreadSecurity = NULL

|InheritHandles = FALSE

|CreationFlags = CREATE_SUSPENDED

|pEnvironment = NULL

|CurrentDir = NULL

|pStartupInfo = 0012FE70

\pProcessInfo = 0012FEC0

2.在svchost.exe(系统正常文件)进程,通过微软未公开API函数MapViewOfSection注入shellcode,然后通过ResumeThread让线程跑起来执行shellcode。退出进程。到这里只有svchost.exe傀儡进程运行着。

3.GetUserNameA得到用户名,调用CreateMutex创建互斥量,保证当前唯一实例在运行,互斥量名:aa+用户,如aaAdminstrator。

4.拷贝母体到C:\Documents and Settings\Administrator\Local Settings\Application Data目录下。



然后创建自启动项


5.采用非对称加密算法加密通信数据。
调用Wininet API 访问服务器,如下图:


母体拥有加密的公钥,而木马远程服务器拥有加密的私钥。
公钥密钥如下:
-----BEGIN PUBLIC KEY-----\r\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDh1cXNl5TSGcC5OrnDBc+fdN/0\r\nPblnZEAOlryK65eKdaNAIi0okxHTfCHKZQWEz8LOzQRclzg+SilO+jbesgZg/Y7U\r\nc8edpo93cM0eyVE7Pi5n73I/lLyvD/gDby80FQmj1sbayyHR2DG8heeJJ2TRTfzD\r\nr6V/45jRqvvUfgl+swIDAQAB\r\n-----END PUBLIC KEY-----

根据非对称加密算法原理得知,母体加密的数据,必须用私钥才能解密,相反服务器加密的数据,要公钥才能解密,就算第三方监听软件得到数据后,也无法解密,从而保证数据安全。


6.访问服务器,请求指令。
采用http方式与木马服务器通信,端口是443,但它并不是使用https协议,木马这么做是为了伪装成https的数据流,混淆于正常数据流中。如图:


【send】

URL : http://222.124.166.12:443/60BEFE6A816ED5BF940937394B8DA9BC1FB55514F0

未加密的数 据:<knock><id>60BEFE6A87DBB6D0E1C63DD52509D910</id><group>2608s< /group><src>3</src><transport>0</transport><time>1712272722</time><version>2050</version><status>0</status><debug>none.none.none</debug></knock>

<id>60BEFE6A87DBB6D0E1C63DD52509D910</id> : 母体编号,区别其它变种母体。

<group>2608s</group> : 分组标志,方便服务统一管理

version>2050</version> : 版本号 

【recv】

解密数据:

<knock><id>60BEFE6A87DBB6D0E1C63DD52509D910</id><task type="idl" /></knock>

task type="idl" : idl是服务器指令,这是一休眠指令,除了idl 还有其它6条指令,相对于idl指令,这6条指令会附带其它数据参数。其它6条指令如下:


指令表:

 

【idl指令】 

读取指令参数,如下图:

 

调用sleep休眠,如下图:

 

【run指令】 

    从服务器得到shellcode,然后通过创建傀儡svchost进程,执行shellcode代码,用来完成指定具体的功能

 

【rem指令】

  卸载指令,结束相关进程,删除相关文件和注册表,如下图:

 

【ear指令】

创建下载的shellcode模块,解压缩数据,监控到的数据,如图片。在母体目录下创建收集数据文件。如下图

 

【rdl指令】

检测和设置注册表记录木马状态,如下图:

 

【red指令】

    删除旧文件,结束旧程序,接收服务的数据后,创建落地新母体,然后运行新母体。如下图:

 

【upd指令】

从服务器接收到新母体数据,然后更新到母体目录下,并修改自启动项,指向新母体,如下图:

 

电脑管家对此类病毒能有效拦杀:

   


电脑管家V12.0

安全实力沉淀,云主防+三大引擎全面护航

智能实力突破,电脑管理解决方案专属推荐

详情>>

版本更新:2016.09.01