高危病毒木马“黑狐”深度剖析

2015-05-12 来源:未知 作者:腾讯电脑管家
【文章摘要】腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种,这已经是该木马从2014年初首次发现以来的第三个大变种,本次全国感染量近百万。

腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种,这已经是该木马从2014年初首次发现以来的第三个大变种,本次全国感染量近百万。本文通过对“黑狐” 木马多个版本的分析对比,来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征和线索,也为预知和防御新的变种寻找思路。

1、 伪装性好:该木马与正常的软件“混编”,用户在打开该木马程序时,误以为是正常的程序。由于打开过程中,没有明显的异常,且木马的主要文件是在运行后经过数轮的下载才安装到用户机器中,在原始样本中只含有少量代码,通过文件体积等完全无法看出。


图1. 运行后的木马界面



图2. 木马的下载流程图


 

2、 传 播迅速:使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开,在很短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后,会进行人工 分析,而人工分析地不彻底,就会导致木马被设置为信任而不报毒。截止3月31日,黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有 三家报毒。


图3. 截至目前,大部分安全厂商不报毒


 

3、 隐 蔽性强:该木马使用了开机回写、启动删除、驱动隐藏等技术,在电脑开机时,由系统用木马文件替换系统文件,在木马启动后,再用备份的系统文件替换掉木马文 件,因此木马文件在系统关键位置存留的时间很短,且使用了rootkit技术,隐蔽性很强,绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及 其启动项。

图4. 使用注册表PendingFileRenameOperations方式实现自启动

 

4、 难以清除:由于该木马驻留在Winlogon.exe进程中,该进程是windows用户登录程序,启动地比安全软件早,而关闭地比安全软件迟。且在内核中含有rootkit保护驱动,即便被扫描出来,也很难被彻底清除。

5、 危害严重:该木马是一个典型的插件型远控木马,控制者随时可以通过命令下发插件,而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广,但只要控制者想做,随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、个人隐私造成严重损失。


图5. “黑狐”木马模块分工示意图


 

详细分析:
HSHZS.exe行为:
1) 正常的界面显示、图片格式转换器
2) 创建一个线程,下载 https://ad*.try*.com/GetAds/? HSHZS.jpg
3) 从jpg文件尾部提取数据,解压后得到HSHZS.dll,创建线程直接内存执行
4) 访问https://to*.tryi*.com/tongji.php,将本地磁盘序号信息等上传统计


图6. 木马的下载和统计链接



HSHZS.dll行为:
1) 加载名为A01的资源,解压后得到一个PE文件,以下将其命名为A01.dll
2) 将A01.dll以远程线程的方式注入到系统Winlogon.exe进程中



图7. 将A01资源解压后以远程线程的方式插入winlogon.exe



A01.dll行为:
1) 下载https://98.126.20.182:443/HenKew并解压,得到HenKew.dll,内存执行


图8. 下载指定URL的数据到本地执行,根据配置有两种方式,WinExe和直接内存执行


HenKew.dll行为:
1) 下载https://98.126.20.182:443/YA20150218 并解压,得到YA20150218.dll,内存执行


图9.每个模块的下载代码都使用的同一套代码,支持http、https、ftp三种方式的URL



YA20150218.dll行为:
1) 加载名为RunWin的资源,该资源是一个PE文件,取名 RunWin.dll,内存执行


图10. 提取RunWin资源,并执行,RunWin才是正式的木马体



RunWin.dll行为:
1) 判断是否在Winlogon.exe进程或者svchost.exe进程

2) 创建线程,不断进行以下行为:
① 创建C:\WINDOWS\System32\SET12.tmp(SET**.tmp)
② 修改注册表PendingFileRenameOperations,实现重启后用SET**.tmp替换cscdll.dll

3) 释放C:\WINDOWS\System32\Wbem\csvcoy.xsl(csvc**.xsl)

4) 拷贝%windir%\System32\cscdll.dll到%windir%\Wbem\cscdll.xsl

5) 连接C&C服务器,接收指令,目前发现的有
①下载文件,WinExec执行
②下载文件,注入到其他进程执行

6) 加载驱动,在驱动中,实现以下两个功能
①在驱动中通过文件过滤隐藏Set**.tmp、csvc**.xsl文件
②创建关机回调,在系统关机时再次回写注册表和文件,保证不被清除


SET**.tmp行为:(重启使用)
1) 查找并读取csvc**.xsl文件,解压得到csvc**.dll,内存执行,csvc**.dll同RunWin.dll




  


图11.木马安装过程



图12. 该木马的特征之一:运行过程中会生成很多KB*.dat的中间文件


 

腾讯电脑管家已经首家推出针对“黑狐”的专杀工具,可对该木马进行完美截杀。


(电脑管家拦截图)



(电脑管家查杀图)



(哈勃分析平台能对样本提出警告)

电脑管家 V16

全新上线 更轻更快