怎么干掉“肥兔”?你懂的

2015-07-20 来源:未知 作者:腾讯电脑管家
【文章摘要】管家对“肥兔”木马做了详细解剖。但如果你看不懂解剖,那也没关系,管家直接帮你干掉“肥兔”。
深入解剖“肥兔

1、setup_3l.exe文件分析

  样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线

  样本运行后下载了一张图片https://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路径信息。
 

 

 
2FeiTuDll.dll 文件分析

  样本MD5:a5b262da59a352b1c4470169183e094b

  FeiTuDll.dll运行后,收集以下信息:

  1) 通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息
  2) 检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程;
  3) 检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器;
  4) 本机MAC地址
  5) 本机操作系统版本


  收集完成后将信息提交到https://count.tianxinli.org/player/tj.php
  参数格式及说明如下:

  op=install (操作)
  ri= (当前进程名)
  mc= (MAC地址)
  vs=1.0.0.1 (木马版本)
  dq= (int.dpool.sina.com.cn返回的IP等信息)
  sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)
  os=(操作系统版本)
  sc= (屏幕分辨率)
  bar= (是否网吧 1:是 0:否)
  tm= (当前时间戳)
  key= (以上信息的MD5校验)

  接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。


 

  随后木马会下载“大天使之剑”的安装包到本地,并执行安装。


 
  安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。


 
 
 
3tmp.exe 文件分析

  根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
 
4
yrd.tmp (Sens.dll、Cscdll.dll)文件分析

  捕捉到的其中几个广度较大的变种MD5如下:

f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019

  该文件的PDB信息如下:


 
  该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程。
 
 
 
5 %WinDir%\svchost.exe文件分析

  该文件pdb信息如下:



  该文件同时被执行两次,根据互斥量来进行如下不同的分工:

  先被执行的进程行为:
  1)释放LKS19.tmp驱动文件并加载
  2)创建名为sysPipa的管道接收命令
  3) 与驱动进行通信,将命令传递给驱动
 
  后被执行的进程行为:
  1)获取本机各种信息发送到https://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。
  2)查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程
  3)从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe
https://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497
  4)关闭UAC
 
 

6驱动文件LKS19.tmp分析
 

该驱动文件具有以下功能:
1) 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定
2) 根据命令修改锁定的主页地址
3) 根据命令,结束指定的进程
4) 根据命令,hook指定的SSDT表函数
 
7
SVCH0ST.exe文件分析:

  该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利



 
  推广的软件列表如下:

 
怎么干掉“肥兔”?你懂的

  看不懂“肥兔”解剖原理没关系,管家直接帮你干掉“肥兔”。已安装电脑管家的用户们只管放心,管家已经能够精准拦截该木马及其变种,用户无需做任何处理,只需要在管家发现病毒的时候及时点击“一键清除”即可。



 
 
 
  未安装管家而感染了该木马的用户也无需紧张。及时安装管家并使用闪电杀毒,即可彻底清除该木马。
 

电脑管家 V16

全新上线 更轻更快