DT下载器木马再次大肆传播,已感染超20万台电脑

2020-12-11 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全威胁情报中心检测到DT下载器木马最新变种正通过软件下载站和其他软件推广渠道传播,检测数据表明,其最新变种在短短数日之内已感染超20万台电脑。

一、概述

腾讯安全威胁情报中心检测到DT下载器木马最新变种正通过软件下载站和其他软件推广渠道传播,检测数据表明,其最新变种在短短数日之内已感染超20万台电脑。腾讯安全专家建议用户下载软件时,尽量通过软件官方网站,或通过安全软件的软件管理功能下载,避免在不知名网站下载而感染病毒。


被植入DT下载器木马的安装包


腾讯安全检测到DT下载器er感染量一日爆增


DT下载器木马通过安装随机名服务模块,从木马C2服务器(xz.8dashi.com)获取配置指令,进而达到持久化驻留。木马通过云端指令静默下载、安装大量用户不需要的软件,篡改浏览器导航页、在收藏夹添加推广链接等方式盈利,该木马具备继续通过后门投递其它恶意载荷的能力。腾讯电脑管家及腾讯T-Sec零信任无边界访问控制系统(iOA)、腾讯御点均可查杀该病毒。

腾讯电脑管家查杀DT下载器木马

二、样本详细分析

随机名服务模块

通过下载站,软件推广渠道下载安装某些软件后,系统会被植入DT下载器er后门服务后,通过连接C2服务器获取配置指令,进一步解析将恶意模块下载到本地执行。该配置变化十分迅速,文件名随机变动,分析员根据当前配置发现以下两个模块被下载执行。

hxxp://xz.8dashi.com/qd/MasterSetf.exe

hxxp://xz.8dashi.com/qd/MakeFunSet.exe





配置文件名变化频繁,推广内容也变化频繁(1日内多次变化)



MasterSetf.exe(静默推装)

该模块会静默推广各渠道软件安装包,推广的软件包括浏览器、输入法、PDF阅读器、看图软件、压缩软件等多种网民厌恶的全家桶套装。




MakefunSet.exe主页篡改程序

MakefunSet则是一个浏览器主页修改相关的包程序,该程序运行后会首先检查系统是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续篡改浏览器主页等逻辑。否则进一步通过从云端两次拉取加密文件包,解密解压缩后在内存中执行DLL恶意代码。进而修改感染病毒机器内的浏览器主页、收藏等设置。

PDB信息显示与duote有关:


安装包运行后,从进程列表观察到大量不请自来的软件被安装。


运行后会首先避开安全软件进程,安全软件进程字串使用循环异或1-5的方式动态解密后再使用,规避:



规避安全软件列表信息:



后续该模块从hxxp://down.1230578.com/RlConfig.7z处下载恶意载荷,解密解压后内存装载执行。


第一次解密出的压缩包,将名为RLMakePage.dll的模块在内存中展开执行




后续将执行RlMakePage.Dll模块导出函数plugin_lock内代码,执行后会进一步再次从

hxxp://down.1230578.com/SetFunVec.7z下载恶意payload



第二次解密出压缩包,名为SetFunVec.dll的模块将在内存中展开执行




Mem_SetFunVec.dll(浏览器篡改模块)

SetFunVec.dll提供了各浏览器的修改接口,通过修改注册表信息,修改浏览器配置信息,修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页、收藏夹、启动快捷方式进行篡改的目的。





如下图所示,感染病毒后主页被修改到推广位置,同时收藏夹增加了算命、购物、游戏、搜索链接等链接。

IOCs

URL

hxxp://xz.8dashi.com/qd/MasterSetf.exe

hxxp://xz.8dashi.com/qd/MakeFunSet.exe

hxxp://xz.dashi88.com/Blok.ini

hxxp://down.1230578.com/SetFunVec.7z

hxxp://down.1230578.com/RlConfig.7z

MD5:

497b40104fbaba971b088bab640e3e50

6bbedc7b361f274c5ce3c3e6391eede5

7d08cedba78794259c9678d305d9c5e6

3079dab5cff504a75b6a2641e5f43de8

c9019c409f7c099427948c55e613936b

f596fe2ac98f6a3e4d3797c65c5e0a9b

45ada7a93ae833e2ba3ee655f0d2650a

b63237fa0a88796f870e42a7e7dda3f0

70e743ea2d613ce7656593fcf081c5f7

51427a205aa7f658b5bf2210978285a9

6f2b143e0970c5988caa1379e244ec2b

7b9a54f429361ae82f54565673a191ff

电脑管家V13.10

弹窗拦截全新升级

详情>>

版本更新:2021.02.04