萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> “瘦男孩”木馬病毒的分析

“瘦男孩”木馬病毒的分析

  一、木馬簡介

  網購木馬“瘦男孩”(Lanker-Boy)通過篡改支付訂單數據,以達到劫持受害網友交易資金的目的。該木馬家族最早出現在2014年9月,360QVM組追蹤分析Lanker-Boy傳播路徑估算,國內已有約百萬台電腦受到該木馬家族的威脅,一些游戲外掛網站和兼職刷單聊天群是Lanker-Boy木馬傳播的主要陣地。

  網購木馬最早在2010年前後出現,與早期的網購木馬相比,Lanker-Boy具有更高明的免殺手段,其解密運行惡意代碼的機制使傳統特征碼殺毒引擎不能很好應對,而且該木馬作者以Lanker-Boy的賬號在各大殺毒軟件論壇“主動反饋誤報”,通過社工欺騙手段蒙混過關,木馬也因此具有更強的傳播力和更多的存活空間。

  圖:“Lanker-Boy”的運作機制

  二、“Lanker-Boy”名稱由來

  1.為了防止木馬重復感染,木馬作者在樣本中編寫了互斥標記,名為“Lanker”。

  2.木馬加密的DLL文件名為Lanker.dll。

  3.從2014年11月至2015年1月,木馬作者使用lanker-boy.com域名傳播木馬。

  4.從2015年1月至2015年3月,木馬作者使用http://43.252.231.52/lanker.txt雲控木馬支付賬戶配置。

  5.從2015年1月至今,木馬作者使用Lanker-boy賬號在多家國內殺軟論壇反饋“誤報”,並成功騙取一些殺毒廠商信任,使其去除了原本可以查殺的病毒特征。

  三、木馬特點

  1)主動上報

  傳統情況下,木馬作者會躲避和殺毒軟件的接觸,從而避免木馬被查殺。而“Lanker-Boy”的木馬作者在編寫完木馬後,第一時間將木馬上傳給殺毒廠商,偽裝“游戲大廳”的程序被誤報,要求殺毒廠商刪除病毒特征。而國內某些廠商收到木馬後,不但沒能及時發現,反而去除了原本可以查殺的特征。

  根據VirusTotal掃描顯示,截止2015年4月7日,全球安全廠商中僅有360可以查殺“Lanker-Boy”的重要組件Lanker.dll。

  2)隱蔽性強

  一旦木馬作者成功騙過殺毒軟件,使其刪除特征,後面的惡意行為操作就無法被查殺。

  打開木馬壓縮包可看到3個文件:

  設置顯示隱藏文件與後綴名後:

  木馬主程序為“123 .exe”,其圖標類似普通記事本圖標,目的是誘導用戶點擊。點擊後會加載同目錄下的非PE文件,並解密執行。由於主程序並不涵蓋實際惡意代碼,其它文件又為無實際意義的非PE文件,致使傳統的特征引擎並不能很好得查殺。

  3)傳播性強

  由於有了前兩個前提條件,再加上普通用戶又很容易被其圖標所迷惑,該木馬就可以在短時間內大量的傳播,據360QVM組統計,國內目前已有約百萬用戶受到該木馬的威脅。

  木馬詳細分析

  加載過程:

  判斷文件名是否包含空格,如不包含則執行正常程序,包含則執行惡意代碼。目的是躲過一些殺毒廠商不嚴格的審核機制。

  文件名中不包含空格時:運行該病毒時,會彈出一個偽裝成游戲大廳自動更新的程序。

  文件名中包含空格時:申請內存,讀入非PE文件update.dll。

  解密update.dll:

  解密前後對比:

  解密後的update.dll通過Loadlibiary方式加載:

  創建互斥體“Lanker”:

  打開正常的文本文件,誘導用戶:

  拷貝自身到系統中:

  設置開機自啟:

  同樣的方法,申請內存,讀入lanker.dll:

  解密lanker.dll:

  解密前後對比:

  解密完成後,木馬掛起創建自身進程,注入代碼到自己的新進程空間中執行:

  從內存中提取該文件可以看到一個易語言程序,該程序實現了劫持支付的功能,當用戶處於支付寶交易環境時,木馬通過雲控配置信息如http://43.252.231.52/6.txt獲取收款賬號:

  成功獲取到收款賬號後,正常下單後會出現假的提示,其實是在讀取支付參數,准備劫持:

  支付被劫持前可以看到收款人信息以及表單內容一切正常:

  支付被劫持後,在浏覽器調試狀態下可以發現,提交的收款人數據參數已經變了,收款人被替換成“[email protected]”或“[email protected]”:

  由於木馬都是後台操作,在用戶看來,網上銀行一切正常:

  傳統的支付劫持有2個特點:

  A)更改訂單金額,偽裝特價商品騙取用戶

  B)更改收款人,支付金額直接打到木馬作者手中

  而“Lanker-Boy”木馬通過後台Post提交參數的方式,用戶從浏覽器中完全無法看出任何異常,只有在支付之後的交易記錄中,才能發現收款人已被替換。而這個時候為時已晚。

  木馬騙取殺毒廠商信任,使其刪除特征:

  主動向百度殺毒要求解除“誤報”,騙取信任:

  主動向騰訊電腦管家要求解除“誤報”,騙取信任:

  主動向金山毒霸要求解除“誤報”,騙取信任:

  在2015年1月20日、2月3日、2月9日和2月23日,金山連續4次刪除特征,為“Lanker-Boy”木馬解除“誤報”:

  四、總結

  “Lanker-Boy”木馬的出現,打破了以往木馬通過免殺等方式躲避殺毒軟件的常規方法,反其道而行之,采取主動上報、欺騙殺毒廠商刪除“誤報”特征的方法,從而使得一些殺毒廠商降低了警惕,給木馬作者肆意傳播木馬提供了機會,造成用戶重大損失。在木馬技術上,劫持支付過程也更加隱蔽,受感染電腦的用戶會在毫無察覺的情況下,將全部交易金額轉入木馬作者手中。

  針對Lanker-Boy的傳播方式,360QVM引擎團隊提醒各安全廠商注意保持高度警惕,對待誤報反饋要嚴格審查並完整分析文件行為,以免被木馬蒙混過關。

copyright © 萬盛學電腦網 all rights reserved