百优A精美图库欢迎您!http://www.baiua.com
当前位置:游戏动漫

西西外挂网cf刷枪 云控攻击之“人生在世”木马分析

2015年6月8日 20:34:48   阅读(247)

毕业季致青春之鲁西西团队视频

毕业季·致青春之鲁西西团队视频,矿大版活着

视频点评:

糖果58398645:活力组、太棒了、从你们的歌声中看到了青春活力、还有现实如此无奈

幸福最晴天孙:飘过。。。[吐]

天津印象:应该不是在徐州的矿大,可能是矿大银川学院。。话说你也是矿大的? //@张明亮亮亮亮:不是矿大,我们这边新老校区都不是这样,北矿应该是 //@cike2723 :徐州的矿大

干嘛的呢:在大学里能有这帮朋友们一起拍这个片子挺好,回想我们的大学除了喝酒吃饭打游戏还能记起什么

快的追月亮:是矿大银川学院 //@斗死你不偿命:矿业大学银川学院吧!是不?我看着眼熟

石度:他说的是戴安全帽的人 //@lanhupo13:请问站在高楼 上如何看见地下的小蚂蚁,用的是显微镜么?

斗死你不偿命:矿业大学银川学院吧!是不?我看着眼熟

840823ls:看你的头像就知道你的文化水平很高,是啊..很高。 呆子 //@lanhupo13:请问站在高楼 上如何看见地下的小蚂蚁,用的是显微镜么?

lanhupo13:请问站在高楼 上如何看见地下的小蚂蚁,用的是显微镜么?

147258369wuyang:4分06看到个好像孔连顺的人


精彩内容:

摘要

近期一款名为“人生在世”的木马家族异常活跃,它隐藏在“小马激活”、“种子搜索神器迅雷云播版”、“宝宝CF刷枪软件”、“游戏启动器”等软件中,具有较强的免杀能力和大规模传播能力,目前国内仅360安全卫士能够识别查杀该木马家族。

“人生在世”木马的主要特点是纯shellcode类云端控制,木马的云控代码藏在几张美女图片中,图片和代码以“人生在世”这四个字作为“接头暗号”。

此外,该木马组装了“贝壳ARP防火墙”和“ADSafe”的两个程序,通过白利用方式(针对合法软件的DLL劫持)加载木马执行,并采用文件回写、驱动保护、远程注入等多个方式隐藏自身。木马激活后会接受云端控制,向受害者电脑安装大量软件赚取推广费,还会收集受害者信息,从而进一步推送更多恶意程序。

木马分析

以“小马激活”工具被捆绑的木马样本为例分析:

0x00 逝去的小马激活

小马激活工具官方公告:

虽然小马激活工具已经发了公告和声明,但怎奈网上浩如烟海的搜索结果真假难辨。这也就给了居心不良者以可乘之机。

伪造的小马激活MD5为:b85507eaf961dae7216b32a99d5ea9dd

所谓的“小马激活OEM9”模仿得很真实,不仅图标和真的一样,界面也非常具有迷惑性。并带有Shenzhen WangTengda Technology Co., Ltd.签发的数字签名,用以躲避部分安全软件的查杀。

0x01 云控ShellCode

用户一旦上当,点击“一键永久激活Windows和Office”按钮后,木马程序便会启动,访问网络配置文件。地址如下:

hxxp://so.lyehk.com/yan.txt

hxxp://so.lyehk.com/so.txt

通过读取在线配置文件,得到一个“图片”文件的网址:

如图,目前配置文件为:

hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/142734eg5yntyabgf6yln6.jpg

而下载回来的jpg文件双击后可以正常打开,看起来只是个普通的图片而已(妹子身材不错……)

但实际上图片代码中有大量的病毒代码。木马主程序会将该“图片”写入到以下路径:

C:Program FilesCommon Filesaaa

完成后,木马主程序会从伪造的图片文件中,搜索“人生在世”的字符串。“人生在世”字符串之后的数据,即是一个完整的PE文件。

0x02 加载ShellCode

将后面的PE文件解出来,实际上是一个dll文件,该dll文件仅有要给导出函数:“a123”

Dll文件MD5:F3546FDE0E5E87F1176BA40790F6CCDE

虽然是个dll文件,但实际上木马主体并没有把dll落成磁盘文件,而是直接在内存中加载函数并执行。

该函数会向%ProgramFiles%路径下释放ADSafe.exe和beikecmm.dll,并启动ADSafe.exe

被释放文件MD5分别为:

ADSafe.exe : cb4eabb88e154e6e13b73ef7f6d4f6de

beikecmm.dll : c05ea3bcd40acc001370c1ad02c01985

其中ADSafe.exe带有有效的数字签名:Beike Internet Security Technology Co.,Ltd

由于没有做足够的安全校验,ADSafe.exe会直接去动态加载同目录下的beikecmm.dll,这样在加载的同时,dll文件的DllMain函数即被执行

0x03 ShellCode * 3

ShellCode Dll执行后,会从自身的资源中再解压出一段ShellCode,加载到内存中执行。

而内存中的执行代码则如法炮制,去访问另一份在线配置文件,下载伪装的图片文件

hxxp://so.lyehk.com/kan.txt

hxxp://cdn.pcbeta.attachment.inimc.com/data/attachment/forum/201505/20/151014y100odo0u5lk0atu.jpg

图片如下:

当然,接头暗号依然是——“人生在世”。

解出来的dll文件MD5为:48f025d14a689e58c1550dfed9cc47ed

同样是不落成文件,而是第三次直接加载在内存中执行。

0x04 伪装术

此时,加载了三重ShellCode的木马程序会向真的ADSafe安装程序目录中释放真的ADSafe主程序和一个adsCore.dll的dll劫持文件,用以迷惑用户。并将其添加至启动项:

伪装正常程序的木马程序:

木马通过“正常”位置释放“正常软件”并注册开机启动项的方式,实现开机自启动。启动后,注入系统进程,隐藏自身工作模块,绕开常规杀毒软件的检测。

0x05 作恶

之后,该程序通过网盘下载东方输入法、QQ浏览器、金山毒霸、百度杀毒、百度卫士、百度浏览器、火绒在内的大批推广软件,并将安装结果打点回传。

木马在下次开机启动后,加载起来的木马驱动,用来结束杀软进程:

木马查杀

木马在与杀毒软件的对抗中,变得越来越隐蔽,“人生在世”木马就是一个典型。从功能角度来说,“人生在世”大量使用云控结合shellcode的形式,成为真正的“云”木马,木马落到本地的仅仅是一个loader(引导器)模块,只负责在受害者电脑中活下来,并等待云控shellcode下发,功能代码均由云端直接发布,具有无需升级、实时更新的能力。

目前国内仅360杀毒和安全卫士能够全面查杀“人生在世”木马及其变种,国内其它杀毒产品对这一家族木马尚无法识别和防御。

根据VirusTotal扫描结果显示,捆绑木马包目前只有7款杀毒引擎能够识别,国内只有360入围:

木马工作模块更是只有5款杀毒软件能够检出:

360安全卫士可拦截并查杀“人生在世”木马:

如果发现电脑莫名其妙多出一些陌生软件,可以安装360安全卫士进行快速扫描,检测电脑是否感染了“人生在世”木马。同时建议网友们选择靠谱渠道下载软件,避免使用来源可疑的外挂和破解软件。


相关图片:

cf刷枪软件是不是外挂_百度知道

↑图:cf刷枪软件是不是外挂_百度知道

cf刷枪器下载 穿越火线刷枪外挂 穿越-免费在线

↑图:cf刷枪器下载 穿越火线刷枪外挂 穿越-免费在线

cf刷枪软件永久雷神_cf刷枪软件免费无毒下载

↑图:cf刷枪软件永久雷神_cf刷枪软件免费无毒下载


关键词: 西西外挂网cf刷枪雷神  西西外挂网cf刷枪下载  西西外挂网cf刷枪外挂  西西外挂网cf刷枪官方  西西软件园cf刷枪外挂