【木马分析】远控盗号木马伪装成850Game作恶

阅读量    172245 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

https://p2.ssl.qhimg.com/t01176efee8b18171cf.jpg

前言

近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。木马一旦入侵电脑,将盗用包括主机名、系统版本、磁盘信息、键盘操作信息等数据,并进一步实现窃取游戏账号及远程控制等恶意操作。

                                             

http://p0.qhimg.com/t01935b31387960159a.png

伪造的850Game钓鱼网站

木马伪装

木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹“$MSRecycle.Bin”,并在其中释放木马程序并将其执行起来。有了正常安装程序做“伪装”,该盗号木马可以在用户毫不知情的情况下侵入电脑。

http://p2.qhimg.com/t0133130f7528219d93.png

   

http://p1.qhimg.com/t01b99c9a29b285469d.png

木马分析

“$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进行解密再通过加载到内存中执行。

http://p3.qhimg.com/t01d31a1d4080730b0a.png

http://p3.qhimg.com/t0133afdb8222700232.png

通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。

http://p6.qhimg.com/t01db24c1f1cd6322d2.png

   解密前 

http://p7.qhimg.com/t0191eca67567e3fadd.png

解密后

遍历进程,检测杀软

http://p3.qhimg.com/t01ee59fd90ecd05370.png

连接CC地址:www.gam564.com,端口为19999

http://p4.qhimg.com/t018b1366d331d40ba2.png

http://p6.qhimg.com/t017c4a20da868f5ef9.png

获取用户信息

http://p9.qhimg.com/t014edebe39682395e4.png

获取主机名

http://p6.qhimg.com/t01d830d1c6bb1347b1.png

获取系统版本

通过cmd命令创建guest用户,并提升权限置管理员

http://p9.qhimg.com/t01dd63b45cafd68d24.png

通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRasAdminDlldllpath中实现开机启动

http://p7.qhimg.com/t01bf868cdccf256678.png

http://p7.qhimg.com/t01c9dfbf6f233714a2.png

获取键盘信息

http://p3.qhimg.com/t011b1da94f450946d4.png

除了上面描述的行为外,程序还会开启计算机3389端口、远程接受命令、创建用户等等行为,这里就不再赘述了。

考虑到最近有大量用户反馈遇到很多这样伪装成棋牌游戏的站点,我们对上述伪造棋牌游戏的木马涉及的域名信息(gam850.com)继续进行追查,我们得到了该域名的所有者的名称和联系邮箱。

http://p8.qhimg.com/t01c54a19a141845587.png

通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。

http://p4.qhimg.com/t01442d5c2c50f8c37c.png

http://p2.qhimg.com/t016763561af95e4da0.png

   而993game.com同样也是一个伪装成棋牌游戏的网站,下载的电脑版的游戏大厅程序也是一个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前面获取域名的信息,我们将两个域名进行简单的关联:

http://p6.qhimg.com/t01ea18c1038b2cc62b.png

在后续的样本分析过程中,又发现一些网站同样是通过伪造成game850棋牌游戏进行传播木马程序,域名如下表:

http://p6.qhimg.com/t0138fa7d0ade09ddee.png

http://p6.qhimg.com/t01dd8c0294ac1b761c.png

    

从gamebb.tw下载的850lobby.exe这个伪装成棋牌游戏的程序,它在执行安装的过程中会先在临时目录中创建正常的game850游戏安装包并将其执行,给用户一种程序正在正常安装的假象。

其实,它在后续的过程中会在C:\WINDOWS下释放一个木马程序,随后再利用创建的vbs脚本将自身删除。木马的主要主要行为:

连接CC地址:wuu.us

http://p0.qhimg.com/t0133c9895917bc540b.png

拷贝自身到C:\WINDOWS目录,文件名为随机的6个字母。

http://p6.qhimg.com/t010a4c97020772dd58.png

添加DirectX服务项实现开机自启动,达到常驻受害者电脑的目的

http://p2.qhimg.com/t0189e78c34f607dcac.png

创建vbs脚本将执行程序自身删除

http://p7.qhimg.com/t01a4de0ba912c4cd27.png

遍历进程,检测杀软程序

联网下载文件

http://p1.qhimg.com/t01edca68001b6d4033.png

获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)

开启3389端口、键盘记录、远程接受命令、创建用户等等

同样的,我们也对by850.com下载的850lobby.exe进行了简单的分析,这个伪装棋牌游戏的木马程序主要行为有:

将植入远控木马的时间存到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesFSkcia msmaowaw中的MarkTime

http://p4.qhimg.com/t013fd48c97e0a54e44.png

通过在115.28.72.212:8080上下载正常的850棋牌游戏到C盘目录下并执行,伪造程序正在正常安装的假象。

http://p1.qhimg.com/t01f37c325be1641761.png

将木马程序自身添加到启动文件夹中,实现开机自启

http://p7.qhimg.com/t015d16ab95784de186.png

连接CC地址:www88369.com

http://p7.qhimg.com/t01a4fe4a6dd498c84d.png

遍历进程,检测杀软

获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)

开启3389端口、键盘记录、远程接受命令、创建用户等等

继续对这两个木马程序访问的两个CC地址进行追查得到这两个域名的注册人和注册邮箱信息。

http://p0.qhimg.com/t0103600ab148958731.png

http://p4.qhimg.com/t012cd3bfd54ecf38da.png

而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。


传播方式

由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下:

http://p1.qhimg.com/t0162b02364cb1759f2.png

通过查询域名持有者的邮箱信息,整理得到这一批伪装成棋牌游戏网站的域名持有者邮箱信息如下:

http://p1.qhimg.com/t01d1c91006861fe5f6.png

通过整篇分析下来,我们发现这些伪造成棋牌游戏的木马所涉及的技术相当普通。它们只不过是幕后的那些操作者通过注册与正规棋牌游戏域名相似的域名,并将木马与棋牌游戏捆绑在一起上传到伪装成棋牌游戏的站点上诱骗用户下载。

https://p0.ssl.qhimg.com/t01aa321f68b5df6669.png

最后提醒广大用户,在上网时切勿轻易点击来历不明的邮件附件、网页链接以及推广广告等,同时要做好安全防护措施,不要轻易透露个人信息,切实提高防范意识和自防能力,避免造成不必要的损失。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多