迅雷防踢补丁:一个刷流量木马的简单分析

发表于:2015-08-16 10:30:00 来源: 黑客与极客 阅读数(0人)

1、背景


近期,腾讯反病毒实验室拦截到了大量通过替换迅雷根目录下库文件zlib1.dll来进行后台恶意刷流量的木马,经过回溯分析,发现其主要通过伪装成迅雷破解补丁、防踢补丁、无限刷会员等补丁文件的方式进行传播,感染量巨大。该木马的主要功能是后台定向的流量推广、刷网页pv、刷百度联想词等操作,目前管家已经全面拦截和查杀。


2、样本简介


木马文件zlib1.dll是在开源代码zlib源码基础上插入恶意代码后重新编译生成的。它作为母体,通过劫持迅雷,每次随迅雷启动负责收集本地计算机信息加密后提交给服务器,同时解密运行服务器返回的js脚本。js脚本运行后会下载得到样本2(bdrwei_xxxx.dll,xxxx为mac值),该样本主要在后台实现刷网页pv、刷搜索引擎关键词排名、刷搜索引擎联想词等操作。此外,还发现该木马可根据C&C服务器返回的不同指令进行命令分发,实现远程控制功能。


木马功能大致流程图

图1. 木马功能大致流程图


3、详细分析


3.1 zlib1.dll行为:


该木马由开源代码zlib修改而来,在程序的入口点创建线程运行木马行为,随后判断进程名是否为迅雷(thunder),如果是则对迅雷进行补丁,实现防踢(未验证),木马dll的dllmain函数代码如下。


木马dll文件入口函数代码(dllmain)

图2. 木马dll文件入口函数代码(dllmain)


木马功能代码执行后,首先收集父进程路径、父进程名、运行时间、mac地址、dll所在路径等信息。将其拼接后再加密,随后通过get方式发送到服务器。信息提交的页面地址为:http://u.pp02.com:8000/tongji.asp。 


木马收集信息加密后发送到服务器

图3. 木马收集信息加密后发送到服务器


服务端在收到统计信息后,会返回一段加密后的数据,数据解密后得到如图4所示javascript脚本,并使用控件直接在程序内执行该脚本。脚本的功能是下载http://tan.pp02.com/view/referdb.jpg文件到本地保存为bdrwei_xxxx.dll(xxxx为本机MAC地址)。而后使用rundll32.exe加载运行。


解密后得到的javascript文件部分内容

图4. 解密后得到的javascript文件部分内容


3.2 bdrwei_xxxx.dll行为:


校验参数后构造参数继续创建多个rundll32.exe进程加载自身,开始刷流量。


构造参数准备创建新的rundll32.exe进程加载自身

图5. 构造参数准备创建新的rundll32.exe进程加载自身


构造参数准备创建新的rundll32.exe进程加载自身

图6. 创建新的rundll32.exe加载自身,会创建多个


每个rundll32.exe进程启动后都会判断启动参数,根据不同的参数进行以下刷流量行为:


3.2.1 刷PV:


访问"http://lv.pp02.com/tj/config.aspx?rnd=xxx,提交不同的random值返回得到含有不同URL的json数据,解析json数据,构造好相应的参数访问URL。


访问http://lv.pp02.com/tj/config_line.aspx?rnd=xxx&host_id=55&delay=0,提交不同的host_id返回得到含有不同URL的json数据。解析json格式,提取URL,并且访问此URL。(注:以上xxx表示Math.random()返回的随机数)


例如得到json格式如下:


{"code":0,"host\_id":68,"script":"http:\/\/lv.pp02.com\/view\/viewbaidu.asp","max\_speed":"150","url\_list":["http:\/\/www.baidu.com\/?tn=SE\_hldp06112\_3xy3k552"],"delay":[0,100,191],"width":-1,"height":-1,"user-agent":"","referer":"http:\/\/www.qyu.cn\/"}

抓取到的数据包如下:


刷PV行为抓包

图7. 刷PV行为抓包


3.2.2 刷搜索引擎关键词:


通过访问:http://lv.pp02.com/view/viewqline.asp?click_rate=&t=1,得到另一段用于推广的javascript。而后运行该脚本。实际分析过程中发现其返回的javascript脚本如图8所示,实际作用是访问http://tj.pp02.com/view/loop_read.aspx?s=xxx。随机获取到需要推广的关键词。而后模拟点击。


返回的刷关键词脚本内容

图8. 返回的刷关键词脚本内容


3.2.3 刷搜索联想词:


访问http://lv.pp02.com/view/loop_read.aspx?s=xxx,会随机返回不同关键字,而后程序将返回值作为参数发送到http://suggestion.baidu.com/su?来搜索联想词。


3.2.4 远程控制功能:


除了以上刷流量功能外,在分析时我们还发现了该木马的远程控制功能,不过近半的远程控制命令尚未有相应的处理代码,可见该木马还在不断开发和完善新的功能。


木马的远程控制命令列表

图9. 木马的远程控制命令列表


4、危害及查杀


经过以上分析,我们可以发现该木马的主要功能还是通过后台刷流量来实现获利,由于该木马没有专门的启动项,而是随着迅雷启动,使用户难以发现异常。但是频繁地刷流量会占用用户大量的带宽,导致用户网速变慢。如发现近期下载速度变慢、在线看视频玩游戏变卡,很可能中了该木马,可下载电脑管家进行全盘扫描。管家提醒:不要从非官方渠道下载所谓的“补丁”文件来替换正常软件的相关的文件,因为这样不仅会影响相关软件的稳定运行,还容易感染病毒木马危害计算机安全。


相关新闻

大家都在学

课程详情

恶意代码原理

课程详情

逆向工程

课程详情

Web应用安全