首页 > 安全资讯 > 正文

双11购物狂欢在即 “流量杀手”黄雀在后

概述

流量推广是网站营销的一种方式,各大电商网站都有自己的推广商,推广商通过各种推广渠道将网站推广给更多用户,推广商也会从中获取丰厚的收益。而就在"双十一购物狂欢节"快要来临之际,360安全中心检测到一批劫持流量的木马病毒活跃了起来,在电商与用户之间当起了"推广商"。

这批病毒通过下载站进行传播,植入到网页游戏微端安装程序当中,感染用户电脑之后疯狂劫持百度,淘宝,天猫,京东,唯品会,携程,360搜索等电商网站,将其劫持为病毒作者的推广渠道,从中牟取暴利。病毒整体流程如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


详细分析:

1. 微端安装程序

360安全团队发现,一款携带"广州华多网络科技有限公司"数字签名的页游微端安装程序携带恶意病毒,安装包文件描述为"灭神 Install"。文件属性,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


在安装"灭神"客户端的过程中病毒会检测当前计算机环境是否是虚拟机或者网吧环境,如果是,则只执行安装流程,反之,则还会执行释放病毒逻辑的流程,代码逻辑(部分代码已删减),如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


检测虚拟机。代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


通过检测一些常见的网吧管理工具的进程是否存在,来判断当前坏境是否是网吧环境。代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


然后将加密的病毒PE镜像进行解密,解密函数,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


将解密后的病毒文件注册为系统服务,并运行病毒文件:

双11购物狂欢在即 “流量杀手”黄雀在后


2. WGameService.exe

名为"WGameService.exe"的病毒服务运行后创建一个线程,该线程会在C:windowssystem32drivers\目录下生成一个随机名文件夹(这个随机名在后续病毒驱动名中被延用),此处还会检测金山毒霸的进程"kxetray.exe"。病毒逻辑,如下所示:

双11购物狂欢在即 “流量杀手”黄雀在后


然后根据操作系统位数,解密对应的病毒驱动,解密代码,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


在解密完病毒驱动之后,该病毒线程会检测常见的杀毒软件是否运行,如果有杀毒软件运行,则会进入轮询,直到杀毒软件退出,才会执行下一步病毒逻辑,防止将解密后的病毒驱动写入文件时被杀毒软件实时监控所查杀。病毒逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


检测的杀毒软件进程列表,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


直至所有杀毒软件退出时,才会将解密后的驱动镜像写入文件系统,并将其注册为Boot型驱动。代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


3. TMjBKK3Z.sys

该病毒驱动会释放注入所需的驱动(TMjBKK3Z.db)和动态库(TMjBKK3Z.dll),以及从云端服务器更新并解密配置文件(TMjBKK3Z.dt),与应用层程序通信,并且会通过挂钩ntfs派遣函数,抹除LDR链表中的驱动信息,注册表回调等方式保护病毒程序和注册表不被安全软件检测到。驱动文件信息,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


TMjBKK3Z.sys主流程,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


释放TMjBKK3Z.db和TMjBKK3Z.dll,并加载TMjBKK3Z.db驱动。代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


挂钩ntfs派遣函数:

双11购物狂欢在即 “流量杀手”黄雀在后


当有请求访问病毒文件目录时,就返回STATUS_OBJECT_PATH_NOT_FOUND。代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


注册表回调保护病毒的注册表项不被篡改,代码逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


抹除驱动信息,防止ARK工具检测:

双11购物狂欢在即 “流量杀手”黄雀在后


解密TMjBKK3Z.dt文件(解密key为"SJcR4MFS0F"),供TMjBKK3Z.dll使用,实现流量劫持和主页锁定的逻辑,具体劫持逻辑会在下午中详述。解密函数,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


4. TMjBKK3Z.db

TMjBKK3Z.db驱动功能较为单一,通过创建镜像加载回调,在explorer.exe进程加载ntdll.dll模块时,将病毒动态库注入到explorer.exe进程中,兼容64位程序和32位程序。病毒逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


注入时会先将shellcode写入目标进程空间,然后挂钩ZwTestAlert函数入口。代码逻辑如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


5. TMjBKK3Z.dll

当ZwTestAlert函数被调用时,就会跳转到shellcode进行执行。执行时会先恢复ZwTestAlert入口的钩子,然后调用TMjBKK3Z.dll,执行完之后跳转到正常的ZwTestAlert进行执行。病毒逻辑,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


Explorer.exe进程被病毒注入后会监听一个本地端口,并且篡改计算机网络代理设置,使用病毒携带的pac脚本控制要劫持的网站,将这些网站的流量转发到本地监听的端口进行劫持,劫持的网站列表及所用的pac代理脚本,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


我们在TMjBKK3Z.dll的内存中找到了该病毒携带的SSL根证书和私钥:

双11购物狂欢在即 “流量杀手”黄雀在后


保存后,根证书信息(颁发者是"AutoASI"),如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


当流量被转发到病毒监听的端口时,病毒会利用自身携带的SSL证书篡改https流量,并且读取TMjBKK3Z.dt配置文件,按照配置文件中的规则将流量进行重发,从而为病毒作者刷取流量。部分配置文件,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


其中每个标签中#之前的部分是要劫持的域名,#之后的部分是病毒作者刷量的网站,用#之后的部分替换#之前的部分,然后进行流量重发,以京东商城为例还原整个劫持过程。

劫持流程如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


当用户在浏览器访问www.jd.com时,病毒会将https流量转发到病毒监听的端口,之后病毒利用自身根证书劫持https流量,将其替换为配置文件中的数据,然后将数据发送到C&C(www.hao12.net),病毒作者在C&C服务器端放置含有重定向功能的JavaScript脚本页面,当有请求访问这个页面时,JavaScript脚本会将流量重定向到,并且会加上病毒作者的推广渠道。解密后的JavaScript脚本的页面,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


利用fiddler观察整个流量劫持过程,如下图所示:

劫持浏览器主页,劫持为配置文件中的网址,被劫持的浏览器列表,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


查看此时浏览器www.jd.com的证书,颁发者是"AutoASI",与正常的京东商城的证书对比,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


除劫持流量外,TMjBKK3Z.dll还会根据配置文件锁定用户浏览器主页,配置文件如图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


劫持的浏览器列表,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


浏览器主页被锁定为7255导航,如下图所示:

双11购物狂欢在即 “流量杀手”黄雀在后


查杀建议:

目前,360安全卫士已支持此类病毒查杀,建议有以上中毒现象的用户尽快下载查杀。

访问此链接即可下载最新版卫士哦~http://dl.360safe.com/inst.exe

双11购物狂欢在即 “流量杀手”黄雀在后


360安全卫士

热点排行

用户
反馈
返回
顶部