Ban:huitailang【多次注册马甲发布软件捆绑木马】
此人最早可以追溯到2015年4月的大号418500646发布软件被发现捆绑木马封号了
之后,此人乐此不疲,依然时不时注册账号来发个软件捆绑木马,利用时下比较热门的软件如 ”百度云加速破解版“、”TeamViewer破解版“ 等,很不巧的是论坛为了保障用户安全,新手发帖都需要审核通过才能显示,绝大多数情况下在木马贴还没发出来就被封号了,下面我们来庖丁解马,把这个捆绑远控的木马剥离分尸看看他究竟都有些什么功能。
一:木马行为分析
此远控木马以 ”正常白文件+木马DLL“ 的方式进行运作(过主流安全软件云防护),目前发现三种被利用白文件,以TeamViewer捆绑的木马举例分析,木马核心就2个文件:
运行TeamViewer无限换ID.exe后,程序会自动加载cmcs21.dll木马DLL,这时候cmcs21.dll开始干活,简单来说干了以下几件事:
1、检测是否存在vmtoolsd.exe进程,来判断是否是虚拟机,如果是的话就退出。
2、通过修改EnableLUA注册表来禁用UAC。
3、释放出3个新的木马文件并复制TeamViewer无限换ID.exe和cmcs21.dll到指定目录
C:\Program Files\windows NT\iusb3mon.exe(正常文件,用来劫持MD5: 86E78DBD4C4B87594B0D8D4D85894682)
C:\Program Files\Windows NT\iusb3mon.dll(木马文件 MD5: 36923A0170B1FDF4F1B94D0D24F208F6)
C:\Program Files\Windows Media Player\SystemCsrss.exe(就是上面的TeamViewer无限换ID.exe)
C:\Program Files\Windows Media Player\data.sys(非PE文件,被加密的木马核心EXE,后面接续说)
C:\Program Files\Windows Media Player\cmcs21.dll(同上cmcs21.dll)
4、将释放的iusb3mon.exe劫持文件添加到启动项做自启动,并运行(图为SSM主动防御程序拦截)。
C:\Program Files\Windows NT\iusb3mon.exe正常文件运行后会自动加载目录下的木马iusb3mon.dll文件,这个DLL功能很简单,就是启动C:\Program Files\Windows Media Player\SystemCsrss.exe木马,这个exe被劫持放到启动项的目的就是重启电脑后启动木马。
我们接着看SystemCsrss.exe(依然是木马dll的功能)启动后干了什么:
1、检测是否存在vmtoolsd.exe进程,来判断是否是虚拟机,如果是的话就退出。
2、通过修改EnableLUA注册表来禁用UAC。
3、读取目录下data.sys进行解密,解密出来以后是一个exe,暂命名为data.exe(木马文件 MD5: B870A317D9B16BE72BD10418931A1A01),然后通过傀儡进程的方式把解密出来的exe写到自己的进程中并执行。
做了这么多次的黑白文件利用,终于主角要登场了,data.exe文件其实也是一个loader,他会通过自己程序中一段加密代码解密出space.dll(木马文件 MD5: 1906EB41E171693E16F18495F838DD34),然后内存加载DLL进行执行。
space.dll就是远控木马的核心了,功能挺多,支持远程多开、内网映射等,就不一一赘述了,简单看一下木马作者留的上线地址
http://fjaps.com/ip/ok.txt “,域名使用的是阿里云万网注册的,服务器也使用的是阿里云服务器,包含120.27.123.191、120.25.247.207、139.224.194.3, 木马作者真实IP:117.30.46.85(2016-11-16 15:23 从运营商那通过ip很容易查到人)木马的内网映射功能会从http://www.xmhairong.com/htl/lcx.exe下载文件进行。
文中涉及文件:
TeamViewer无限换ID.exe(正常文件,用来劫持 MD5: F28DC3698714D559C20E46D1780FA9B0)
cmcs21.dll (木马文件 MD5: 7A3D3060EEAB5566A52B819713328367)
iusb3mon.exe(正常文件,用来劫持MD5: 86E78DBD4C4B87594B0D8D4D85894682)
iusb3mon.dll(木马文件 MD5: 36923A0170B1FDF4F1B94D0D24F208F6)
data.exe(木马文件 MD5: B870A317D9B16BE72BD10418931A1A01)
space.dll(木马文件 MD5: 1906EB41E171693E16F18495F838DD34)
已经把木马打包,压缩包中1.IRScriptEditor就是上文分析的文件,2.tpsvcBase是老版本的木马(上线地址http://fjaps.com/ip/2118529640.txt),感兴趣的同学可以下载自行分析:
梁景祯你的马掉了.7z (3.21 MB, 下载次数: 109) 解压密码:52pojie 注:木马程序中有部分加了VMP和Shielden的壳,使用论坛OD即可正常调试,虚拟机注意vmtoolsd.exe进程会被检测。 二:木马作者信息
和放小木马的家伙你来我往这么久,这人到底是谁了?警察叔叔都在找你!通过域名和被封账号不难查出木马作者常用信息如下:
姓名:梁景祯
年龄:31
身高:身高171CM
出生地:福建泉州人
暂住地:福建厦门
手机:13666044244
QQ:418500646
微信:vip-20000
支付宝:viphuitailang@foxmail.com
邮箱:xmhairong@126.com
小编还看到木马作者在网上发的交流帖子,天天在电脑前搞木马是约不到女盆友滴!(主要还是丑。。。照片不贴了)
三:围剿木马抓捕梁景祯 近期此人趁开放注册活跃用户增加帖子数量增多,在管理没能审核到的新帖发布了捆绑远控的木马进行传播,根据统计,我们发现确实有论坛部分用户中招,并且深夜无人的时候远程控制肉鸡的老账号来发木马贴,在第一时间查封账号封锁源头。
通过木马文件分析后,我们已经和360安全卫士、QQ电脑管家、阿里云和网警取得联系,将木马详细的工作手段和传播方式交给安全厂商,在360安全卫士和QQ电脑管家工作平台上可以彻底查杀!将木马作者的阿里云服务器和阿里万网注册的域名提供给阿里,木马作者的阿里云服务器已经被查封,fjaps.com域名也在给阿里万网反馈中,大家可以一同发邮件举报反馈infosec@service.aliyun.com,可以尽早的封掉木马域名,这样木马作者就无法进行控制了。木马作者的信息已经提交给网警,由他们介入调查,如果有同学中毒可以在当地执法机关报案,一同对梁景祯进行抓捕!吾爱最为活跃的互联网精英们多数来自这些安全公司,在这撒野只能湿了自己的裤裆,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
以防万一,建议大家使用360安全卫士或者QQ电脑管家进行木马查杀,防止中毒,有经验的朋友可以通过上述木马分析自行诊断是否中毒,大家在下载使用论坛程序的时候请多注意安全,如果发现任何有问题的程序可以到论坛投诉举报区举报,我们会及时处理,同样我们也会坚持和加强对论坛安全性保障,持续监控木马做作者的小动作。最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!