【高危病毒】木马“黑狐”深度剖析

为爱痴等

木马简介
　　　腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种，这已经是该木马从2014年初首次发现以来的第三个大变种，本次全国感染量近百万。本文通过对“黑狐”木马多个版本的分析对比，来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征和线索，也为预知和防御新的变种寻找思路。
　　　伪装性好：该木马与正常的软件“混编”，用户在打开该木马程序时，误以为是正常的程序。由于打开过程中，没有明显的异常，且木马的主要文件是在运行后经过数轮的下载才安装到用户机器中，在原始样本中只含有少量代码，通过文件大小等完全无法看出。


图2. 木马的下载流程图
　　　2、传播迅速：使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开，登登登的就在极短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马传播范围过大后，会进行人工分析，而人工分析地不彻底，就会导致木马被设置为信任而不报毒。截止3月31日，黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有三家报毒。

图3. 截至目前，大部分安全厂商不报毒
　　　3、隐蔽性强：该木马使用了开机回写、启动删除技术，在电脑开机时，由系统用木马文件替换了系统文件，在木马启动后，会用备份的系统文件替换掉木马文件，因此木马文件在系统关键位置存留的时间很短，隐蔽性很强，绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。

图4. 使用注册表PendingFileRenameOperations方式实现自启动
　　　4、难以清除：由于该木马驻留在Winlogon.exe进程中，该进程是windows用户登录程序，启动地比安全软件早，而关闭地比安全软件迟。即便被扫描出来，也很难被彻底清除。
　　　5、危害严重：该木马是一个典型的插件型远控木马，控制者随时可以通过命令下发插件，而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广，但只要控制者想做，随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、隐私造成严重损失。

图5. “黑狐”木马模块分工示意图
　　　详细分析：
　　　HSHZS.exe行为：
　　　1）正常的界面显示、图片格式转换器
　　　2）创建一个线程，下载 http://adgeta.tryiuepx888.com/GetAds/? HSHZS.jpg
　　　3）从jpg文件尾部提取数据，解压后得到HSHZS.dll，创建线程直接内存执行
　　　4）访问http://tongji.tryiuepx888.com/tongji.php，将本地磁盘序号信息等上传统计

图6. 木马的下载和统计链接
　　　HSHZS.dll行为：
　　　1）加载名为A01的资源，解压后得到一个PE文件，以下将其命名为A01.dll
　　　2）将A01.dll以远程线程的方式注入到系统Winlogon.exe进程中

图7. 将A01资源解压后以远程线程的方式插入winlogon.exe
　　　A01.dll行为：
　　　1）下载http://98.126.20.182:443/HenKew并解压，得到HenKew.dll，内存执行

图8. 下载指定URL的数据到本地执行，根据配置有两种方式，WinExe和直接内存执行
　　　HenKew.dll行为：
　　　1）下载http://98.126.20.182:443/YA20150218 并解压，得到YA20150218.dll，内存执行

图9.每个模块的下载代码都使用的同一套代码，支持http、https、ftp三种方式的URL
　　　YA20150218.dll行为：
　　　1）加载名为RunWin的资源，该资源是一个PE文件，取名 RunWin.dll，内存执行

图10. 提取RunWin资源，并执行，RunWin才是正式的木马体
　　　RunWin.dll行为：
　　　1）判断是否在Winlogon.exe进程或者svchost.exe进程
　　　2）创建线程，不断进行以下行为：
　　　（1）创建C:\WINDOWS\System32\SET12.tmp（SET**.tmp）
　　　（2）修改注册表PendingFileRenameOperations，实现重启后SET12.tmp替换cscdll.dll
　　　3）释放C:\WINDOWS\System32\Wbem\csvcoy.xsl（csvc**.xsl）
　　　4）拷贝%windir%\System32\cscdll.dll到%windir%\Wbem\cscdll.xsl
　　　5）连接C&C服务器，接收指令，目前发现的有
　　　（1）下载文件，WinExec执行
　　　（2）下载文件，注入到其他进程执行
　　　SET**.tmp行为：（重启使用）
　1）查找并读取csvc**.xsl文件，解压得到csvc**.dll，内存执行，csvc**.dll同RunWin.dll




图11.木马安装过程

图12. 该木马的特征之一：运行过程中会生成很多KB*.dat的中间文件

duanmeng1990

真的假的，卡巴斯基都检测不到，样本区有这个病毒吗

pal家族

duanmeng1990 发表于 2015-4-3 11:59
真的假的，卡巴斯基都检测不到，样本区有这个病毒吗

没有样本你咋知道卡巴不能杀？
图还可以ps呢·········虽然说真的可能不杀

pal家族

lx就留给XX尽情发挥吧！！