<progress id="yueoz"><code id="yueoz"><xmp id="yueoz">

      1. 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.13ee.cn

         找回密碼
         注冊[Register]

        QQ登錄

        只需一步,快速開始

        搜索
        查看: 22922|回復: 339
        上一主題 下一主題

        [PC樣本分析] 多款軟件內置后門程序 可監視并肆意操控用戶電腦

            [復制鏈接]
        跳轉到指定樓層
        樓主
        火絨安全實驗室 發表于 2020-6-18 22:37 回帖獎勵
        使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
        【快訊】日前,火絨安全團隊發現,萬能壓縮、起點PDF閱讀器、迷你看圖王、新速壓縮、值購助手等一批軟件內置后門程序,該后門可用來下發任意模塊到用戶電腦隱秘執行,威脅極大。目前,我們發現其云控下發的模塊會投放間諜木馬,用以收集用戶瀏覽器歷史記錄等信息。此外,該木馬還會利用QQ登錄憑證竊取QQ身份信息。

        由于所述軟件通過官網和各下載站進行傳播和推廣,影響范圍較大,建議近期下載安裝過的用戶及時排查;鸾q用戶無須擔心,火絨軟件最新版已對所述軟件中的后門程序進行攔截查殺。

        分析發現,該后門程序下發的云控配置,除了統計用戶電腦中軟件安裝情況外,主要用來收集用戶瀏覽器瀏覽記錄,并回傳至后臺。與以往我們披露的瀏覽器收集行為不同的是,該后門收集的瀏覽器歷史記錄已經具體到詳細的網頁地址,并可根據搜索的關鍵字隨時遠控收集行為和內容。

        截至目前,所收集的瀏覽器網頁記錄多與舉報投訴類和財經類網站相關,包括12315、新浪投訴平臺、同花順財經等,但不排除后續通過云控下發收集其它瀏覽記錄命令的可能。

        此外,該后門程序投放的間諜木馬,還會利用用戶QQ登錄憑證,進入QQ空間竊取用戶的年齡、出生日期、性別等重要個人隱私信息并回傳至后臺,嚴重侵犯用戶隱私。

        通過軟件和代碼溯源,我們發現上述軟件均為同源軟件產品,且與我們曾披露過的萬能壓縮、Clover等軟件(詳見報告《灰色產業鏈成病毒傳播最大渠道 流量生意或迎來最后的瘋狂》)帶有相似的遠程模塊的調用方式,或系同一家流氓軟件廠商所為。

        近年來,流氓軟件廠商傳播的套路不再是靠簡單的劫持瀏覽器、捆綁推廣等方式,他們不僅開始與下載站等推廣平臺進行合作暗刷流量,甚至會內置后門程序,通過云控下發各種侵權指令與病毒,來收集用戶各類隱私信息加以利用,并隨意操控用戶電腦,如本文描述的后門程序可以精準收集用戶瀏覽的網頁地址,監視用戶上網行為,其意圖和背后的危害令人細思極恐。對于此類損害用戶利益的流氓軟件和病毒程序,火絨都將及時的檢測攔截,保障用戶安全。

        附:【分析報告】
        一、        詳細分析
        此次涉及的惡意軟件眾多,內置的后門程序文件名稱各不相同,但是功能一致。下面以新速壓縮為例。后門程序主要分為兩個部分,Loruly.exe(云控主程序)和Furtler.exe(加載信息收集云控模塊)。首先Loruly.exe會獲取云控模塊下發地址進而調用云控模塊tsk_xsys.dll,云控模塊被調用后會再次從云控配置中獲取啟動Furtler.exe的相關參數,Furtler.exe啟動后會下載調用云控模塊jp_zgzs.dll執行信息收集操作。
        當惡意模塊Loruly.exe以參數“798”運行之后,會通過網址hxxp://down.zhilingshIDAi.com/ys/xs/423e4af7151aa3ba70daba0e1ed41473.xdi 下載并解密文件,相關代碼如下圖所示:

        下載并解密文件
        解密后的文件信息如下圖所示:

        解密后的文件信息
        再次對文件內容進行解密,得到<ffb335992>字段數據為hxxp://down.zhilingshidai.com/ys/xs/syt.gif ,相關代碼如下圖所示:

        解密加密字段
        當得到所需網址后,Loruly.exe便會下載并解密加載新的惡意模塊tsk_xsys.dll,相關代碼如下圖所示:

        解密tsk_xsys.dll
        tsk_xsys.dll被加載執行之后,會從資源中解密加載新的dll模塊f8fe27c76.dll,相關代碼如下圖所示:

        解密加載資源模塊

        資源信息
        當f8fe27c76.dll被加載執行之后,會通過網址hxxp://down.zhilingshidai.com/ys/xs/487ea1ac3d6deca467bad0874fa5a14c.xdi下載遠程加密配置,解密后的配置及加密字段所對應的明文如下圖所示:

        解密后的配置文件信息
        tsk_xsys.dll通過調用f8fe27c76.dll獲取到所需的配置信息后,便會創建進程,運行Furtler.exe,相關代碼如下圖所示:

        運行Furtler.exe
        Furtler.exe會根據其參數中的網址去下載執行遠程加密模塊jp_zgzs.dll的“Run”導出函數,相關代碼如下圖所示:

        解密并加載遠程模塊
        云控模塊被調用后,首先會從云控模塊資源中獲取云控配置下發地址,之后云控模塊會根據云控配置內容,收集用戶瀏覽器歷史記錄鏈接信息、啟動進程信息、安裝軟件信息,甚至還會利用QQ本地登錄憑證從QQ空間中獲取當前登錄QQ所有者的性別、年齡、生日等信息。云控模塊中的配置數據以新速壓縮相關配置為例,相關數據,如下圖所示:

        云控模塊中的配置數據
        獲取資源中配置數據相關代碼,如下圖所示:

        獲取資源中配置
        從資源配置中的F9362D05383C標簽中,可以解密出云控配置下發地址:hxxp://down.zhilingshidai.com/ys/xs/b9fa14accdca53dba7c51ebf54d20ae4.xdi。云控配置,如下圖所示:

        云控配置
        上圖紅框部分配置為云控收集任務列表,可以根據配置內容收集如性別、年齡、出生日期、瀏覽器歷史記錄等用戶隱私數據。下文中針對該流氓軟件的諸多信息收集行為進行分析。
        個人信息收集
        云控模塊可以根據云控配置解密出惡意模塊的下載地址(hxxp://res.zhilingshidai.com/soft/upicV1.gif),之后云控模塊會將惡意模塊下載到本地的%users%\AppData\LocalLow\JP\Down\sex.7z解壓執行。被下載到用戶本地的惡意模塊是一組“白加黑”惡意程序,云控模塊首先會先通過遍歷進程查看QQ.exe進程是否啟動,之后調用symsrv.dll中的query_uin_json導出函數,symsrv.dll進而啟動同目錄下名為iexplore.exe的白文件,白文件啟動加載symsrv.dll利用QQ本地登錄憑證從QQ空間中獲取用戶的性別、年齡、生日等個人信息。解壓后的惡意模塊,如下圖所示:

        下載到本地的“白加黑”惡意程序
        名為“iexplore.exe”的文件信息,如下圖所示:

        文件信息
        下載執行遠程惡意模塊相關邏輯,如下圖所示:

        下載執行遠程惡意模塊
        symsrv.dll是以“白加黑“的形式被加載運行,當symsrv.dll同目錄下的iexplore.exe被運行時,會調用其導出函數“SymbolServerSetOptions”。相關代碼如下圖所示:

        啟動iexplore.exe

        Symsrv.dll導出函數
        當“SymbolServerSetOptions”函數被運行后,首先通過訪問網址“xui.ptlogin2.qq.com” ,“localhost.ptlogin2.qq.com”,“ptlogin2.qq.com”獲取用戶QQ的token,clientkey等信息,相關代碼如下圖所示:

        獲取QQ token clientkey等信息
        獲取完上述所需信息之后,惡意模塊便打開用戶QQ空間,獲取“ownerProfileSummary”字段數據(“ownerProfileSummary”字段中包含有用戶的QQ名稱、性別、年紀、地區、空間昵稱、空間簽名、生日等個人信息),相關代碼如下圖所示:

        獲取用戶QQ空間“ownerProfileSummary”字段信息
        收集完用戶信息以后,程序會將個人信息封裝成JSON格式供其它模塊獲取使用,相關信息如下圖所示:

        封裝個人信息為JSON格式

        封裝后的個人信息
        最終收集到的個人信息數據會通過HTTP請求的方式發送到C&C服務器,其中Sex1和Sex2為現階段收集的用戶個人信息(性別:男女),但通過該惡意程序云控模塊可以獲取性別、年齡和生日信息。相關請求數據,如下圖所示:

        請求數據
        瀏覽器歷史記錄收集
        云控配置中帶有需要收集的關鍵字,之后云控模塊會根據關鍵字列表對瀏覽器歷史鏈接進行遍歷,一旦發現可以匹配到關鍵字的鏈接就會將鏈接記錄下來,回傳到C&C服務器地址(hxxp://tji.zhilingshidai.com/gw-cdzg.php)。會被進行歷史記錄收集的瀏覽器列表,如下圖所示:

        受影響的瀏覽器列表
        Chrome內核瀏覽器歷史記錄信息收集邏輯中,首先會通過瀏覽器相關注冊表找到瀏覽器歷史數據庫文件,之后通過sqlite查詢歷史記錄信息。相關代碼,如下圖所示:

        定位360安全瀏覽器歷史記錄數據庫位置
        使用SQL語句,根據url和標題內容搜索相關歷史記錄信息,相關代碼,如下圖所示:

        Chrome內核根據url和標題搜索收集歷史記錄
        IE瀏覽器搜索搜集相關歷史記錄信息,相關代碼,如下圖所示:

        IE瀏覽器遍歷歷史記錄
        現階段被收集的歷史記錄信息內容多與舉報投訴類和財經類網站相關,包括12315、新浪投訴平臺、同花順財經等,但不排除后續通過云控下發收集其它瀏覽記錄命令的可能性。該惡意模塊搜索收集邏輯為上傳第一個命中同類網站訪問歷史鏈接,被作為關鍵字的網站地址,如下圖所示:

        被作為關鍵字的網站地址
        上傳搜索到的歷史記錄鏈接,相關代碼,如下圖所示:

        上傳命中關鍵字的歷史記錄信息
        其他軟件環境信息收集
        收集進程啟動信息,相關代碼,如下圖所示:

        搜索匹配進程信息
        通過注冊表卸載項的遍歷,收集本地安裝軟件信息,相關代碼,如下圖所示:

        搜索本地卸載項

        通過遍歷的方式獲取指定軟件的安裝情況
        二、        同源性分析
        通過分析發現,具有上述惡意行為的程序如下圖所示:

        涉及的惡意程序
        加載遠程惡意模塊代碼同源性對比,如下圖所示:

        加載遠程惡意模塊代碼同源性代碼對比

        加載遠程惡意模塊代碼同源性代碼對比

        三、        附錄
        病毒hash

        免費評分

        參與人數 280吾愛幣 +268 熱心值 +255 收起 理由
        Seaney + 1 + 1 謝謝@Thanks!
        飛天斗篷 + 1 + 1 謝謝@Thanks!
        Onehundred + 1 用心討論,共獲提升!
        江湖一孤俠 + 1 我很贊同!
        qltt + 1 + 1 我很贊同!
        2002010601 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        大頭寀 + 1 + 1 熱心回復!
        wyme + 1 + 1 家里電腦都是裝了火絨
        wangka + 1 + 1 謝謝@Thanks!
        acmelining + 1 + 1 謝謝@Thanks!
        junjunjs + 1 + 1 謝謝@Thanks!樓主那個細致的分析,警示,那些無良軟件商直翠無語
        無的世界零 + 1 + 1 謝謝@Thanks!
        仰望星空- + 1 我很贊同!
        val_h + 1 謝謝@Thanks!
        q24655 + 1 火絨牛逼
        onething + 1 + 1 熱心回復!
        xiaoze1993 + 1 + 1 用心討論,共獲提升!
        Higher-Stark + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        小勝 + 1 + 1 謝謝提醒,但是我們沒有裝這些垃圾軟件
        何處不惹塵埃 + 1 謝謝@Thanks!
        chenggh438 + 1 熱心回復!
        夏夜神話 + 1 + 1 火絨nb
        wlP + 1 + 1 謝謝@Thanks!謝謝老板
        Divery + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        danielau + 1 + 1 謝謝@Thanks!
        feng76998 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        20200214 + 1 + 1 謝謝@Thanks!
        Haonannnnnn + 1 + 1 熱心回復!
        liuhaogao + 1 + 1 火絨加油
        bang_guo + 1 + 1 我很贊同!
        cater99 + 1 我很贊同!
        ashura_x + 1 + 1 熱心回復!
        馬頭鷹 + 1 + 1 謝謝@Thanks!
        mansound + 1 謝謝@Thanks!
        resu + 1 + 1 我很贊同!
        ryanmiss + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        感覺還在不在 + 1 + 1 謝謝@Thanks!
        mrlees + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        腿毛哥 + 1 + 1 謝謝@Thanks!
        小霖霖 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        anxfan + 1 + 1 我很贊同!
        溫柔是你的美n + 1 + 1 我很贊同!
        月枝鵲 + 1 + 1 我很贊同!
        請叫我白菜 + 1 用心討論,共獲提升!
        臉到用時方恨丑 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        jia2319885955 + 1 + 1 謝謝@Thanks!
        SHAYUFISHCX + 1 + 1 謝謝@Thanks!
        螞蟻 + 1 + 1 謝謝你,火絨!安全界良心,出個人收費版吧,我一定支持。
        wosiwq + 1 + 1 我很贊同!
        sky466 + 1 + 1 謝謝@Thanks!
        你的小寶貝 + 1 + 1 用火絨 我放心
        liuhuiwencs2006 + 1 + 1 牛逼!,比某個只發安全軟件還上首頁的LJ強多了
        xxxart + 1 + 1 我很贊同!
        淡看風吹雨 + 1 + 1 我很贊同!
        wangxb2555 + 1 + 1 我很贊同!
        NIMINI + 1 + 1 我很贊同!
        w4526423 + 2 + 1 謝謝@Thanks!
        check-sw + 1 + 1 我很贊同!
        RainBxy + 1 + 1 都有哪些軟件啊,去舉報投訴
        Oyster_gg + 1 謝謝@Thanks!
        藍色海岸 + 1 + 1 謝謝@Thanks!
        nisodaisuki + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        li3025447 + 1 + 1 我很贊同!
        lwabab + 1 + 1 用心討論,共獲提升!
        memewyui + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        s10210322 + 1 + 1 謝謝@Thanks!
        sony021 + 1 + 1 謝謝@Thanks!
        牽絆zZ + 1 + 1 我很贊同!
        飛是希望 + 1 我很贊同!
        Jamzero + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        xiaojundeng + 1 + 1 謝謝@Thanks!
        abb666 + 1 用心討論,共獲提升!
        紫羽Notebook + 1 + 1 我很贊同!
        lyslxx + 1 + 1 我很贊同!
        alterman + 1 + 1 支持一下
        liu1913 + 1 + 1 謝謝@Thanks!
        18868195147 + 1 + 1 這么良心的軟件,話說火絨靠啥盈利啊
        jFae + 1 + 1 我很贊同!
        zhuang1108 + 1 + 1 熱心回復!
        雕兄 + 1 + 1 我很贊同!
        雨天陰天 + 1 + 1 我很贊同!
        Gentle丶紀念 + 1 + 1 謝謝@Thanks!
        nami20092010 + 1 + 1 恕我直言,他們敢這么做,是要把監牢做穿的!他們是不是傻?
        adoudou + 1 + 1 謝謝@Thanks!
        deniol + 1 + 1 熱心回復!
        666emmm + 1 + 1 謝謝@Thanks!
        commitl + 1 + 1 我很贊同!
        bugof52pj + 1 + 1 謝謝@Thanks!
        chuntian22 + 1 + 1 熱心回復!
        stunyeah + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        egplnt + 1 謝謝@Thanks!
        丶峰宇 + 1 + 1 我很贊同!
        chenchen_82482 + 1 謝謝@Thanks!
        zzq2878572897 + 1 + 1 謝謝@Thanks!
        北方有佳人i + 2 + 1 用火絨還是安心
        lanyesky + 1 我很贊同!
        owenlrj + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        xier + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        sm1999 + 1 用心討論,共獲提升!
        daymissed + 1 熱心回復!

        查看全部評分

        本帖被以下淘專輯推薦:

        發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

        推薦
        sdzzb 發表于 2020-6-18 22:55
        寫這些軟件的人是不是得抓起來坐牢,把中國網絡環境搞得跟垃圾堆一樣
        推薦
        風之暇想 發表于 2020-6-18 22:49



        老流氓們是時候曬曬太陽了

        免費評分

        參與人數 1熱心值 +1 收起 理由
        誅心 + 1 熱心回復!

        查看全部評分

        推薦
        Nemoris丶 發表于 2020-6-18 23:10
        唉。流氓軟件太多,而且大部分都是大公司的。都不抓一下

        免費評分

        參與人數 1熱心值 +1 收起 理由
        YuniNan0 + 1 這一抓要動了多少人的蛋糕?

        查看全部評分

        推薦
        Natu 發表于 2020-6-19 08:41
        立法缺失,監管不力,支持火絨。!
        推薦
        Null666 發表于 2020-6-21 10:52
        收集隱私和舉報投訴網站的信息,懂的自然懂

        免費評分

        參與人數 2吾愛幣 +2 熱心值 +2 收起 理由
        GOAIL + 1 + 1 我很贊同!
        Titan! + 1 + 1 我很贊同!

        查看全部評分

        推薦
        紅塵舊夢i 發表于 2020-6-19 05:27
        Nemoris丶 發表于 2020-6-18 23:10
        唉。流氓軟件太多,而且大部分都是大公司的。都不抓一下

        大公司都繳稅了,抓了就少錢了
        推薦
        qinqinbaby 發表于 2020-6-18 22:41
        專業,雖然看不懂,頂一個
        9#
        森林游狼 發表于 2020-6-18 22:43
        邏輯清晰,頂
        10#
        WayneXiong 發表于 2020-6-18 22:49
        分析仔細,可傳播,以防更多用戶信息被竊取
        11#
        www.13ee.cn 發表于 2020-6-18 22:51
        干得漂亮!

        不過火絨的朋友圈又有人屏蔽了你們吧,哈哈
        12#
        唯愛卿顏 發表于 2020-6-18 22:52
        還好一個沒中~
        13#
        wasser 發表于 2020-6-18 22:55
        觸目驚心呀,不敢隨便用了
        您需要登錄后才可以回帖 登錄 | 注冊[Register]

        本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

        快速回復 收藏帖子 返回列表 搜索

        RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

        GMT+8, 2020-6-28 21:02

        Powered by Discuz!

        Copyright © 2001-2020, Tencent Cloud.

        快速回復 返回頂部 返回列表
        快三开奖结果