“肥兔”木马会通过多种方式向下推广,日均推广量10W+,推广后会通过替换系统文件而长期驻留在系统中,对系统稳定性和用户的隐私安全造成极大的威胁,目前该木马主要是通过流氓推广和浏览器锁主页来实现盈利。
“肥兔”木马至今已感染了数百万台计算机,相当于国内的每300台电脑就有1台中了“肥兔木马”,那么如果判断自己的电脑是否已经中招?管哥教你一招可快速判定:首先打开浏览器,如果发现打开后的完整主页地址为http://www.2345.com/?32420(如图)或http://hao.congcon.com(如图),那么你已经中了“肥兔”木马;如果你最近经常发现电脑被莫名地装上了xx杀毒、xx浏览器、xx桌面,那么你也很可能是中了“肥兔”的埋伏。
主页被设置为http://hao.congcon.com,联网情况下该页面被如下图所示地址:
重定向后的主页:
二.“肥兔”势力看涨,部分地区肆虐成灾
1.“肥兔”势力看涨
通过数据分析,从5月7日展开推广以来,“肥兔”已经总安装量估计已达数百万。在7月11日安装量更高达641360次之多,“肥兔”威力不容小嘘。“肥兔”势力的走向图和日安装量如图所示。
2.“肥兔”肆虐重大区
“肥兔”木马活跃于全国各地,感染量最为集中的有广东、江苏、山东、河南、浙江、河北和北京等地。其中广东占去了9%的感染份额,紧接其后的江苏和山东,各占全国肥兔感染量8%的比例。
三.“肥兔”和“黑狐”:不得不说的一段关系
从多方面来看,“黑狐”和“肥兔”木马属于同一团队开发,从爆发的时间节点看,两者的关系可能是替代关系(黑狐活跃时间:2015年3月-5月,肥兔活跃时间:2015年6月-7月)两个木马之间的相似性和差异性总结如下:
1.“肥兔”与“黑狐”相似点
肥兔”木马与“黑狐”木马有着诸多的相似之处:如都是通过替换系统cscdll.dll或sens.dll文件来实现长期驻留于系统中;推广相同的流氓软件;最初下载的病毒体以相同的方式隐藏在图片的尾部;而本机信息上报、木马作案手段上有着极大的相似性。在编译环境方面,通过对比管家发现“黑狐”木马的所有模块都使用delphi编写,而“肥兔”的主功能模块已采用VS编写,非主功能模块还是使用delphi编写。
2.“肥兔”与“黑狐”危害更大
肥兔”实际上是由“黑狐”变种而来,但与老“黑狐”相比,它有着更大的危害性。
首先“黑狐”木马会在系统关机的时候将系统文件替换成木马文件,而在开机启动后将系统文件还原回去,而“肥兔”木马从植入其就用木马文件替换系统文件,也未对系统文件做任何备份,因此对系统的稳定性造成极大的影响,容易导致系统蓝屏、死机等。
其次,“黑狐”木马加载驱动只为隐藏自身不被发现,未对系统进行攻击;而“肥兔”木马在驱动中劫持浏览器进程启动实现锁主页,同时还会干掉系统安装的杀毒软件。因此对于用户计算机来说,“肥兔”有着更强的破坏性。
四.那么怎么干掉“肥兔”?你懂的
1. setup_3l.exe文件分析
样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 描述:37最新游戏在线
样本运行后下载了一张图片http://less.3gfetion.com/logo.png,该图片尾部附加了大量的二进制数据,将其解密后得到一个名为FeiTuDll.dll的文件,并在内存中加载执行。这也是“肥兔”木马名字的来源,以下是FeiTuDll.dll文件的属性信息,以及PDB路径信息。
2. FeiTuDll.dll 文件分析
样本MD5:a5b262da59a352b1c4470169183e094b
FeiTuDll.dll运行后,收集以下信息:
1)通过int.dpool.sina.com.cn获取本机外网IP及归属地等信息
2)检测本机杀软安装情况:检测是否存在zhudongfangyu.exe等360系进程、QQPCTray.exe等管家系进程、kextray.exe等金山系进程
3)检测本机是否为网吧机器:通过检测wanxiang.exe、yaoqianshu.exe等进程来判断是否是网吧机器
4)本机MAC地址
5)本机操作系统版本
收集完成后将信息提交到http://count.tianxinli.org/player/tj.php
参数格式及说明如下:
op=install (操作)
ri= (当前进程名)
mc= (MAC地址)
vs=1.0.0.1 (木马版本)
dq= (int.dpool.sina.com.cn返回的IP等信息)
sd= (杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft之一或组合)
os=(操作系统版本)
sc= (屏幕分辨率)
bar= (是否网吧 1:是 0:否)
tm= (当前时间戳)
key= (以上信息的MD5校验)
接收服务器返回的信息,判断是否含有“az”字符设置相应的标志,木马后台会根据提交的MAC信息判断此机器是否感染过,如果感染过则返回“az”,否则不返回任何信息。
随后木马会下载“大天使之剑”的安装包到本地,并执行安装。
安装完成后根据之前是否返回“az”还决定随后行为,如果返回“az”则退出进程,不再有其它行为;如果未返回“az”,则进行以下行为:判断当前操作系统版本是32位或64位加载不同的资源文件,最终在临时目录下释放tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,并将yrd.tmp文件路劲作为参数执行tmp.exe。完成以上行为后判断系统文件是否已经替换成功,并负责关闭windows文件保护相关的警告窗口。
3. tmp.exe 文件分析
根据操作系统类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
4. yrd.tmp (Sens.dll、Cscdll.dll)文件分析
捕捉到的其中几个广度较大的变种MD5如下:
f749521e9e380ecefec833d440400827
8ccf78082effa9cd3eaffbeb2a04039f
4bf8a7fd3a91e47d816cab694834be65
a18d30fef0a73cce4131faf2726adfdb
8c10cc9cde85457b081ecf7cba997019
该文件的PDB信息如下:
该文件在系统启动时会被winlogon进程加载,其功能是解密%windir%\yre.tmp文件并保存为%windir%\svchost.exe,最后将其执行两次,即创建两个进程
5. %WinDir%\svchost.exe文件分析
该文件pdb信息如下:
该文件同时被执行两次,根据互斥量来进行如下不同的分工:
先被执行的进程行为:
1)释放LKS19.tmp驱动文件并加载
2)创建名为sysPipa的管道接收命令
3)与驱动进行通信,将命令传递给驱动
后被执行的进程行为:
1)获取本机各种信息发送到http://count.tianxinli.org/player/tj.php,参数格式与FeiTuDll.dll相同。
2)查找杀软进程,并将pid传递给sysPipa管道,用于结束杀软进程
3)从以下地址下载文件到本地执行,在本地存储为SVCH0ST.exe
http://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497
4)关闭UAC
6. 驱动文件LKS19.tmp分析
该驱动文件具有以下功能:
1) 注册CreateProcess回调,通过给浏览器进程添加命令行的方式实现主页锁定
2) 根据命令修改锁定的主页地址
3) 根据命令,结束指定的进程
4) 根据命令,hook指定的SSDT表函数
7. SVCH0ST.exe文件分析:
该文件PDB信息如下:该模块的功能主要是通过百度有钱推广获利。
推广的软件列表如下:
以上的文字来自腾讯,由于分散较乱,我就把它重新整理了一遍,为大家参考,同时也提醒坛友注意到这个问题,这个病毒好像是最近爆发的,我也是刚刚得知的。
作为一名新人,这也是我为大家送来的见面礼!!!
发表于 2015-7-23 19:06
