- ·上一篇文章:初中化学中考必考的各类反应方程式总结,重点记忆!
- ·下一篇文章:防骗新技术—身份证人脸识别系统
新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万
QQ号多会涉及赌博、淫秽、诈骗、高利贷等内容,病毒会利用技术手段强行推广,并借助下载站的高速下载器迅速扩大病毒影响范围。由于病毒操作信息较为敏感,报告中已经对相关内容进行了删减。被强行添加的好友如下图所示:被强行添加的QQ好友病毒运行后,首先会通过类名”5B38xxxx-xxxx-xxxx-xxxx-xxxx8CA3E942″搜索窗体。上述类名窗体是由QQ创建,窗口内容中存放有当前登录的QQ号。相关代码如下图所示:获取当前登录QQ号在获取到QQ进程PID后,通过代码搜索的方式找到QQ与主界面相关的关键函数,将函数入口代码改为return。通过上述操作,屏蔽用户对QQ主界面的操作,比如打开好友聊天窗口。相关代码如下图所示:搜索QQ界面关键函数屏蔽QQ主界面操作之后,病毒会从远程C&C服务器(hxxp://69.30.244.10/txt/yqh.txt)获取到进行欲强行推广的QQ号。如下图所示:请求推广QQ号使用当前登录QQ号和远程获取到的推广QQ号构造tencent://链接,链接被访问后QQ会弹出添加好友界面,之后通过搜索添加好友窗体模拟用户点击的方式强行添加QQ好友。相关代码如下图所示:强行添加QQ好友利用QQ快速登录获取到的当前用户uin、skey和token,登录http://qun.qzone.qq.com获取群数据,向http://qun.qq.com发送添加群成员数据,强行添加群成员。相关代码如下图所示:强行添加群成员4.QQ空间推广病毒与QQ好友推广类似,病毒首先会在本地获取到当前登录QQ的本地登录信息,之后登录QQ空间转发从远程C&C服务器获取到的QQ空间动态。用户中毒后,QQ空间会强制转发病毒作者设置空间动态,并会在转发同时加入评论。以下图为例,病毒会强制转发小额贷款内容,转发评论为”过个好年就靠这个了”,以达到其恶意推广目的。如下图所示:被推广的QQ空间动态病毒首先会访问QQ快速登录网址(https://xui.ptlogin2.qq.com),之后使用Java脚本调用QQ登录COM接口,获取当前登录用户的QQ号、昵称和ClientKey(由于代码涉及敏感操作,此处不对相关代码进行展示说明)。利用获取到的QQ登录信息登录QQ空间,根据从远程C&C服务器(hxxp://204.12.196.42:81/home/index/number?id=xxx.js,”x”代表任意数字)获取到的数据转发空间动态。获取到的数据,如下图所示:远程获取到的推广数据如上图数据,数据分为三个部分,分别为QQ空间动态的tid、动态所属QQ号和转发时使用的评论。相关代码如下图所示:转发请求链接5.流量劫持病毒病毒运行后会释放出用来进行流量劫持的恶意驱动,被释放的恶意驱动名为volclr.sys。在火绒虚拟行为沙盒中运行结果如下图所示:释放恶意驱动恶意驱动加载后,会将浏览器首页劫持为跳转链接(hxxp://www.638739.top、hxxp://www.winxitong.cn),最终会跳转到2345导航页面(hxxps://www.hao774.com/?34067-0351)。如下图所示:跳转页面劫持流量被劫持浏览器列表,如下图所示:被劫持的浏览器恶意驱动加载后,volclr.sys驱动程序相关恶意行为如下:1.首先在minifilter过滤驱动中,对安装软件安装包进行放过,保证安全软件可以正常安装,提高病毒自身的隐蔽性。如下图所示:被放过的进程名2.通过minifilter过滤,限制explorer及安全软件(火绒、360、腾讯、金山、百度、瑞星、2345安全卫士)进程无法查看目录名为drivers下的所有文件及volclr.sys。结合第一点,可以达到既不影响安全软件安装又可以与安全软件进行对抗的目的。相关代码如下图所示:minifilter过滤drivers目录和volclr.sys使用explorer浏览系统drivers目录,如下图所示:系统drivers目录3.限制指定浏览器加载安全软件的浏览器保护动态库,突破安全软件的浏览器保护功能,达到流量劫持目的。受限制的浏览器如下图所示:受限制的浏览器受限制的动态库列表,如下图所示:受限制的动态库受限制动态库所属软件厂商,包括火绒、360、QQ电脑管家、金山等,甚至还包含有一款流氓软件的动态库WebSafe.dll。如下图所示:受限制动态库所属软件厂商4.将volclr.sys的文件重定向为ACPI.sys,当打开volclr.sys文件对象时,实际打开的是ACPI.sys。如果此时删除volclr.sys,会将系统ACPI.sys删除。代码如下图所示:替换volclr.sys文件对象名文件属性,如下图所示:volclr.sys文件属性恶意驱动原始文件属性,如下图所示:原始文件属性恶意驱动原始签名信息,如下图所示:原始签名信息四、附录文中涉及样本SHA256:*本文作者:火绒安全,转载请注明FreeBuf.COM
新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万