首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >神话传奇:一款通过卖号在微信群传播的远控木马

神话传奇:一款通过卖号在微信群传播的远控木马

作者头像
FB客服
发布于 2018-07-30 06:50:08
发布于 2018-07-30 06:50:08
1.5K00
代码可运行
举报
文章被收录于专栏:FreeBufFreeBuf
运行总次数:0
代码可运行

近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。

认识卖号人

在分析远控木马之前,我们先来认识一下这批远控木马的目标人群——卖号人。卖号分为很多种,本文主要指的是倒卖微信号,更具体的应该是卖“微信62数据”。这里简单认识一下“微信62数据”,这个数据是微信用户登录新设备后生成的加密数据,通过导入该数据到新设备中,可以跳过新设备登录验证的步骤直接登录账号,这一串数据是以数字“62”开头,被卖号人习惯性的称为“62数据”。如下是一条卖号人提供的微信号数据,格式为“账号—密码—62数据—最后登录时间”。

众所周知,微信是个天然营销的平台,围绕在微信圈里的产业链更是举不胜举,自然就有人搞起了微信号的买卖交易。而对于账号交易至关重要的62数据,本身使用起来颇为麻烦(需要辅助工具),所以免不了有人要做一些科普性工作,网上随便找一下62数据相关。

看上去营销工作做得还可以,于是加扣扣打探一下行情,发现的确是一条产业链。

打开所谓的平台,其实是在卓郎上注册的一个“自动发卡”商户,上面提供多种不同品质需求的微信62数据账号。

后来发现,不少卖号的代理人有自己各自的渠道,如下为另一自动批发商户:

这些卖号的代理人平时还会通过微信群来进行交流。我们尝试联系某个卖号的代理人,经过沟通后发现有人专门负责在微信群里散播诱导性的远控木马程序。

有意思的是,卖号代理人一般都会使用微信电脑版来工作,正常情况下群里的木马文件自动接收后会被360识别为木马并隔离查杀,只有用户主动去找回并运行木马程序才会中招。

经了解,进这个群需要交50块RMB,有一定的门槛,目前该群已满500人,其中却有不少“混进去”的小号在散播该木马。

远控木马分析

下面以上文提及的微信群内散播的最新样本“国内老号500个62数据.exe”为例进行分析。传播者试图以“国内老号500个62数据”之类的文件名诱导卖号人下载运行木马释放体,传播中的木马文件名和程序图标都比较有欺骗性。该木马的主要运行流程如下图所示:

(一)、木马释放体

木马释放体运行后主要的功能代码都在窗口Form1的活动过程函数TForm1:FormActivate里,启动后先从资源里释放一个加密的zip压缩包,保存到D盘根目录命名为:“如遇登录器打不开.txt”。该压缩包里存放了首次感染用户需要用到的所有文件,被解压到用户的图片目录(该目录将作为木马的安装目录),解压密码为“2017”。如果安装目录里事先已存在恶意程序“KGGouWo.exe”(酷狗躺枪。。。),说明不是首次运行,就直接打开一个已存在的文本文件“成功数据(127).txt”。

这里顺便提下,由于木马判断了“D:\如遇到登录器打不开.txt”这个压缩文件是否存在,所以在没有D盘的系统,木马文件会释放失败,无法继续后续行为。

看一下压缩文件解压到安装目录后文件列表。

接着,在安装目录下创建一个名为“360管家.lnk”的欺骗性快捷方式,快捷方式的目标指向了刚解压出来的一个被利用的白程序“gamecore.exe”。

“gamecore.exe”其实是酷狗官方的一个程序组件,且具有有效的数字签名

“gamecore.exe”启动后未经校验就会直接启动同目录下的文件名为“KGGouWo.exe”的程序。木马作者通过“白加黑”的方法,对抗安全软件的拦截。

木马释放体将伪造的“360管家.lnk“的快捷方式复制到系统的启动目录下实现开机启动,具体的实现的过程比较有特点。

首先,构造一个特殊的命令行如下:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
C:\Documents andSettings\Administrator\My Documents\My Pictures\baidu.com execmd copy"C:\Documents and Settings\Administrator\My Documents\My Pictures\360管家.lnk" "C:\Documents andSettings\Administrator\「开始」菜单\程序\启动\360管家.lnk"

从该命令行可以看出,调用的程序为安装目录下的“baidu.com”这个程序,该程序实际上是个NirCmd命令行工具

命令行给该工具传递“execmd copy”命令来把“360管家.link”快捷方式拷贝到开始菜单里的启动目录,由此实现自启动的目的。在xp环境下“baidu.com”的程序路径包含空格且作者未使用双引号包含(发现此处是木马的bug,在win7以上环境能正常运行命令行),命令行被截断将导致后续执行失败如下:

然后,木马释放体将构造好的命令复制到系统剪贴板里。

最后,木马释放体启动同目录下的“Spy++.exe”来运行剪贴板里的命令。 “spy++.exe”通过调用“baidu.com”命令行工具来模拟键盘操作,首先是发送“Win+R”快捷键来打开windows运行窗口,接着使用“Ctrl+V”快捷键粘贴事先复制好的命令行,然后马上就按回车键执行,从而实现运行剪贴板里命令行的操作,并且最后为了不引起用户的怀疑,还调用CMD命令删除运行记录。

添加开机启动之后,木马释放体会直接运行“360管家.lnk“,通过白程序“gamecore.exe”启动恶意程序”KuGouWo.exe”。之后,木马释放体打开一个“成功数据(127).txt”来迷惑中招用户。

“成功数据(127).txt”内容如下所示,可以看到是一些微信账号和62数据。

(二)、远控木马

KGGouWo.exe的图标伪装成私服的样式,实际上是个远控木马,当运行在非安装目录时,会显示传奇游戏的图片,来欺骗用户。

当程序运行在安装目录(“My Pictures”,即用户图片目录)时,才会触发远控流程。

远控流程需要的一些API函数是在程序窗体初始化的时候准备好的。具体过程是拼接所需API函数的字符串后,调用“LoadLibraryA”和“GetProcAddress”获得。

程序进入远控流程后,会先连接远程控制端服务器,地址为:“27.54.*.211:8100”,连接协议使用TCP连接。

连接远程服务器后,注册WM_Socket消息,绑定窗口消息处理函数来接收远程可读消息,消息码为0x1400。

然后收集用户系统信息准备进行上线,收集的信息包括用户名、主机名、系统版本、硬件信息、语言地区、文档路径等,并使用“|”连接,之后将数据进行压缩后再发送给控制服务器进行上线请求。

压缩后封包的格式为“长度|压缩数据”,接收的控制端数据也采用类似的格式。

接着进入处理0x1400号消息的流程,当判断有可读数据时就接收远程控制数据后开始进入控制流程。

进入控制流程后,经过一系列的长度检查和数据解析之后,得到控制命令字符串。对于新上线的中招机器,服务器会返回一个“Ping”命令字符串,该命令串随后会被用来与木马程序里定义的一系列控制命令作比较,如果相同则执行相应的命令操作,如下图的“shenhua”即比较的第一个命令串。

命令列表里没有“Ping”命令,因而程序会跳出控制流程,进入默认的一个发送心跳包的流程,发送的数据为“Idle”。

心跳包每隔10秒钟就会发送一次,用于向控制服务器证明远控木马一直处于上线状态。

木马上线后,除了持续发送心跳包外就是等待接收控制端的命令了,然后又回到上述的控制流程,遍历命令列表执行相应的控制命令,命令列表及对应功能如下表所示:

远控木马该有的功能都不少。下面看几个常见的功能实现,首先是截屏,核心还是创建屏幕位图。

清除系统日志,可以看到清除了包括安全事件、DNS事件等多个系统关键日志。

键盘记录功能包含“Start”和“Stop”两个开关指令,当开启记录功能时除了设置键盘钩子外还启动了一个辅助程序“mir.exe”。

键盘记录关键的功能在钩子回调里实现,主要记录受害用户的键盘操作,分为可见字符输入、空格和其他特殊字符,同时还额外记录了用户剪贴板、当前窗口标题等内容。

关机、注销系统、重启。

开启远程shell是通过创建两个匿名管道来设置cmd进程启动参数的输入输出,同时cmd窗口属性设置为隐藏。

传播情况

下面是此类远控木马最近一个月在全国各地区的传播情况分布图,其中广东省为重灾区,占比高达20%以上。

结语

目前微信是常用的交流工具,不少用户在电脑上也安装了微信,因而微信被传统的PC木马作者盯上作为木马的传播途径。而五花八门微信群中人员复杂,木马作者很容易隐藏自己并将木马伪装成用户感兴趣的内容来传播。请广大用户不要随意点开来历不明的陌生链接或文件,及时用安全工具扫描查杀可疑文件,避免给不法分子可乘之机。

*本文作者:360安全卫士,转载请注明来自 FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-02,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。 近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配
FB客服
2018/03/01
1.7K0
远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
第77篇:美国APT入侵西北工业大学使用的5款远控后门揭秘
大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。
ABC_123
2023/09/25
1.2K0
第77篇:美国APT入侵西北工业大学使用的5款远控后门揭秘
远控盗号木马伪装成850Game作恶
前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。 木马一
FB客服
2018/02/09
1.7K0
远控盗号木马伪装成850Game作恶
“大黄蜂”远控挖矿木马分析与溯源
事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。 现象与危害: 感染现象 感染该类木马后,您的计算机CPU经常占用 100%,并且 会发现常驻进程 winInit.exe。同时
FB客服
2018/03/01
2.4K0
“大黄蜂”远控挖矿木马分析与溯源
你在看电脑,而黑客们在看你
这是早期的一则推特,眼尖的用户能注意到: 似乎扎克伯格的笔记本摄像头和麦克风插口都是用胶带蒙住的 Mark Zuckerberg为什么要把摄像头给封住了? 因为他也怕被黑,安全永远是相对的,更何
HACK学习
2019/08/06
1.8K0
你在看电脑,而黑客们在看你
从一条微博揭秘“专黑大V名人”的定向攻击
前言 本月初微博上有知名大V晒出一封私信截图,私信是以某记者名义发出,要求采访该大V博主,并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后,该文件被360安全卫士检测为木马进行清除。 我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析,发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙,该团伙利用盗取或冒名的各类账号,对账号关联人发起攻击,木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等,很明显是意图窃取数据进行勒索或售卖来谋取利益
FB客服
2018/02/07
8530
从一条微博揭秘“专黑大V名人”的定向攻击
手把手 | 用Python写成的MCR乐队敲诈者木马:这种操作很朋克!
按要求转载自安全客 作者 | 360安全卫士 几年前,敲诈者木马还是一个默默无闻的木马种类。然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时,各种敲诈者木马也在不断推陈出新,变着花样地出现在分析人员的视野中。 去年,360安全团队就发现了一款使用PHP语言编写的敲诈者木马(具体内容参考《用世界上最好的编程语言写成的敲诈者木马》)。最近,一款使用Python语言编写的敲诈者木马又
大数据文摘
2018/05/24
8430
利用第三方软件0day漏洞加载和执行的木马分析
近期腾讯反病毒实验室捕获了一批针对性攻击的高级木马,该木马使用近期热门的时事话题做诱饵,对特殊人群做持续针对性攻击,目前腾讯电脑管家已经能够准确拦截和查杀该木马。 图 1. 腾讯反病毒实验室拦截到的部
FB客服
2018/02/05
9170
利用第三方软件0day漏洞加载和执行的木马分析
千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马
2023 年 8 月 17 日,业界披露了 WinRAR 的远程代码执行漏洞,编号为 CVE-2023-40477。该漏洞细节发布四天后,一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本(CVE-2023-251157),该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。
FB客服
2023/10/06
9880
千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马
远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家
臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国家。 Palo Alto Network的Unit 42最近发布博文,一个被称为SPIVY的新Posion Ivy变种正在攻击香港活动家,它使用DLL旁加载(DLL sideloading),并且在操作方面与ASERT(Arbor’s Security Engineering & Response Team )最近发现的至少活跃了12个月的变种有很大
FB客服
2018/02/08
1.3K0
远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家
腾讯安全:游戏私服捆绑传播挖矿木马,已感染超5000台电脑
疫情期间,网络游戏迎来流量高峰,游戏客户端也因此成为一些网络黑产攻击和牟利的工具。近日,腾讯安全威胁情报中心检测到黑产通过某网络游戏私服传播挖矿木马和远程控制木马,已有超5000台电脑中招,腾讯安全提醒企业及个人用户提高警惕,采用专业安全产品进行防护。
腾讯安全
2020/05/21
4.5K0
腾讯安全:游戏私服捆绑传播挖矿木马,已感染超5000台电脑
藏在短链接下的挖矿木马:NovelMiner
使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的真实长网址,用户往往无法无法从短链得知其指向的网址类型,因而经常会因为误点击带毒短链接而电脑中毒。
FB客服
2018/07/30
1K0
藏在短链接下的挖矿木马:NovelMiner
“强奸”全球43款杀软的木马是怎样的存在?(附网友神评论)
1 背景 只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点: 1 木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等; 2 木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安
FB客服
2018/02/07
3.4K0
“强奸”全球43款杀软的木马是怎样的存在?(附网友神评论)
浅谈木马
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
用户10781703
2023/10/10
5680
浅谈木马
一种 Au3 远控木马变种样本分析
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
安恒网络空间安全讲武堂
2018/02/06
2.6K0
一种 Au3 远控木马变种样本分析
驱动人生安全事件分析
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
字节脉搏实验室
2020/11/06
3.4K0
驱动人生安全事件分析
来自云端的木马:“百家”木马集团分析
0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能查杀该病毒,多个木马的变种MD5被多款安全软件加入到白名单中,导致主动防御也失效。该木马近期持续活跃,传播量上万,该木马有以下特点: 1)通过文件名控制自身行为,根据不同的文件名有着多达六十多种不同的行为。 2)以直接通过查询远程数据库的方式获取配置信息,减少了不少工作量,但暴露了数据库的帐号密码。 3)篡改本地受信任数字证书列表,并构造证书给木马签
FB客服
2018/02/08
1.5K0
来自云端的木马:“百家”木马集团分析
相关推荐
远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验