【文章摘要】管家对“肥兔”木马做了详细解剖。但如果你看不懂解剖,那也没关系,管家直接帮你干掉“肥兔”。
深入解剖“肥兔
1、setup_3l.exe文件分析
样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线
样本运行后下载了一张图片https://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路径信息。
2、FeiTuDll.dll 文件分析
样本MD5:a5b262da59a352b1c4470169183e094b
FeiTuDll.dll运行后,收集以下信息:
1) 通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息
2) 检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程;
3) 检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器;
4) 本机MAC地址
5) 本机操作系统版本
收集完成后将信息提交到https://count.tianxinli.org/player/tj.php
参数格式及说明如下:
op=install (操作)
ri= (当前进程名)
mc= (MAC地址)
vs=1.0.0.1 (木马版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)
os=(操作系统版本)
sc= (屏幕分辨率)
bar= (是否网吧 1:是 0:否)
tm= (当前时间戳)
key= (以上信息的MD5校验)
接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。
随后木马会下载“大天使之剑”的安装包到本地,并执行安装。
安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。
3、tmp.exe 文件分析
根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
4、yrd.tmp (Sens.dll、Cscdll.dll)文件分析
捕捉到的其中几个广度较大的变种MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
该文件的PDB信息如下:
该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程。
5、 %WinDir%\svchost.exe文件分析
该文件pdb信息如下:
该文件同时被执行两次,根据互斥量来进行如下不同的分工:
先被执行的进程行为:
1)释放LKS19.tmp驱动文件并加载
2)创建名为sysPipa的管道接收命令
3) 与驱动进行通信,将命令传递给驱动
后被执行的进程行为:
1)获取本机各种信息发送到https://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。
2)查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程
3)从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe
https://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497
4)关闭UAC
6、驱动文件LKS19.tmp分析
该驱动文件具有以下功能:
1) 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定
2) 根据命令修改锁定的主页地址
3) 根据命令,结束指定的进程
4) 根据命令,hook指定的SSDT表函数
7、SVCH0ST.exe文件分析:
该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利
推广的软件列表如下:
怎么干掉“肥兔”?你懂的
看不懂“肥兔”解剖原理没关系,管家直接帮你干掉“肥兔”。已安装电脑管家的用户们只管放心,管家已经能够精准拦截该木马及其变种,用户无需做任何处理,只需要在管家发现病毒的时候及时点击“一键清除”即可。
未安装管家而感染了该木马的用户也无需紧张。及时安装管家并使用闪电杀毒,即可彻底清除该木马。
1、setup_3l.exe文件分析
样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线
样本运行后下载了一张图片https://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路径信息。
样本MD5:a5b262da59a352b1c4470169183e094b
FeiTuDll.dll运行后,收集以下信息:
1) 通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息
2) 检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程;
3) 检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器;
4) 本机MAC地址
5) 本机操作系统版本
收集完成后将信息提交到https://count.tianxinli.org/player/tj.php
参数格式及说明如下:
op=install (操作)
ri= (当前进程名)
mc= (MAC地址)
vs=1.0.0.1 (木马版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)
os=(操作系统版本)
sc= (屏幕分辨率)
bar= (是否网吧 1:是 0:否)
tm= (当前时间戳)
key= (以上信息的MD5校验)
接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。
随后木马会下载“大天使之剑”的安装包到本地,并执行安装。
根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
4、yrd.tmp (Sens.dll、Cscdll.dll)文件分析
捕捉到的其中几个广度较大的变种MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
该文件的PDB信息如下:
该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程。
该文件pdb信息如下:
该文件同时被执行两次,根据互斥量来进行如下不同的分工:
先被执行的进程行为:
1)释放LKS19.tmp驱动文件并加载
2)创建名为sysPipa的管道接收命令
3) 与驱动进行通信,将命令传递给驱动
后被执行的进程行为:
1)获取本机各种信息发送到https://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。
2)查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程
3)从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe
https://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497
4)关闭UAC
6、驱动文件LKS19.tmp分析
该驱动文件具有以下功能:
1) 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定
2) 根据命令修改锁定的主页地址
3) 根据命令,结束指定的进程
4) 根据命令,hook指定的SSDT表函数
7、SVCH0ST.exe文件分析:
该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利
怎么干掉“肥兔”?你懂的
看不懂“肥兔”解剖原理没关系,管家直接帮你干掉“肥兔”。已安装电脑管家的用户们只管放心,管家已经能够精准拦截该木马及其变种,用户无需做任何处理,只需要在管家发现病毒的时候及时点击“一键清除”即可。
