8

PDF转换器投放木马 将用户终端变为获利工具

 3 years ago
source link: https://zhuanlan.zhihu.com/p/350139497
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

【快讯】

根据“火绒威胁情报系统”监测,火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块,正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,变得卡顿。

目前,该恶意软件仅单日侵扰用户量就达数万,请大家小心防范。火绒最新版(个人版、企业版)可及时拦截、查杀上述恶意代理模块,且不影响软件正常功能,用户可放心使用。

nUJN3yq.png!mobile

火绒工程师分析发现,即使用户卸载“奇客PDF转换器”,其恶意代理模块也不会被随之删除,而是作为系统服务,开机自启,达到永久驻留在用户电脑中的目的。此外,我们还发现了若干版本的“奇客PDF转换器”与其释放的恶意代理模块,但无论是何种版本的恶意模块,其功能代码都极为相似。

通常,黑客可以使用代理模块将用户的终端设置为代理服务器,并通过占用用户终端的网络和计算资源,来进行爬取网站信息、网络攻击等行为。如此一来,即便被入侵的一方发现攻击并进行溯源,也只会看到被设置为代理服务器的用户终端地址,而真正的攻击者便可以借此躲避追查。

值得一说的是,火绒工程师进一步溯源发现,“奇客PDF转换器”安装包及其释放的恶意代理模块所属为同一公司,且该公司旗下网站主要经营流量代理服务。因此,不排除该企业利用上述恶意代理模块控制用户电脑成为代理服务器,并进行售卖盈利的可能。

这也与我们此前发现并分析的“流星加速器”携带恶意代理模块事件近乎一样,由此也可以看出,恶意代理模块正在被广泛的投入商业化使用中,并威胁用户安全。对此,火绒在帮助用户拦截此类威胁的同时,也再次提醒大家小心防范。

附:【分析报告】

一、 详细分析

近期,火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高,且如下进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。经分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。该恶意软件与先前分析过的流星加速器类似(“流星加速器”恶意投毒控制用户电脑 恐用于商业牟利),都是通过下载站下载器进行静默传播推广。在该恶意软件安装过程中会释放恶意代理模块到%appdata%\tx目录。即使用户卸载奇客PDF转化器,恶意代理模块也不会随之删除,而是作为系统服务,开机自启,永久的驻留在用户电脑之中。虽然不同版本的奇客PDF转换器释放的恶意代理模块名称不同,但是功能代码极为相似,下文以svchost.exe分析说明。相关运行流程如下图所示:

E7zmeeY.jpg!mobile 运行流程图

奇客PDF转化器运行后,会在用户%appdata%目录下创建tx文件夹,将相关代理模块释放于其中。随后运行start.bat脚本,该脚本根据用户电脑的.NET环境来决定运行Start2.0.exe还是Start4.0.exe。Start2.0.exe/Start4.0.exe运行之后会遍历系统服务,如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。相关代码如下图所示:

YNFf6nm.png!mobile 检测系统.NET环境并运行Start2.0.exe/Start4.0.exe 2IVBbyy.png!mobile 检测SDRSVC_93c83服务运行状态

svchost.exe运作之后会将自身注册为服务并启动运行,相关代码如下图所示:

um2mMbA.png!mobile svchost.exe注册为系统服务 I3YR323.jpg!mobile 系统服务运行信息

随后svchost.exe连接hxxp:// http:// pr.qikels.com:301/GetIp Port 和hxxp:// http:// pr.qikels.com:301/GetIp Portzhima 获取远程代理服务器IP及端口信息。相关代如下图所示:

uYjqMn.png!mobile 获取远程代理服务器信息

成功获取远程代理服务器信息后,svchost.exe便会接收远程代理服务器下放的目标网址数据包并访问,最后将结果数据包进行回传。相关流量数据包如下图所示:

jMR7zum.png!mobile Wireshark抓包情况

svchost.exe还会收集用户电脑环境信息发送至111.229.195.75:8102/insideapi/saveInstallLogV2,相关数据如下图所示:

aM73En6.jpg!mobile 用户电脑环境信息

同时,我们在svchost.exe里还发现了云控AdWinfrom.exe模块开启的相关代码。AdWinfrom.exe模块目前暂未发现,不排除后续奇客PDF版本转换器将其释放的可能性。相关代码如下图所示:

uYjqMn.png!mobile 云控AdWinfrom.exe模块开启

二、 溯源分析

经过溯源分析发现,奇客PDF转换器安装包及其释放的恶意代理模块svchost.exe的均来自于 “杭州至流科技有限公司”。签名信息如下图所示:

yqmumyM.png!mobile 奇客PDF转化器安装包签名信息 aqU7Vze.png!mobile svchost.exe签名信息

经查询发现,杭州至流科技有限公司旗下网站“至流软件”(hxxp:// http://www. zhuzhaiip.com )主要经营流量代理服务。相关信息如下图所示:

zURBF3B.jpg!mobile 至流科技备案网站信息 miaUBjj.jpg!mobile 至流软件网站首页信息

根据公司信息检索结果,我们得知杭州至流科技有限公司主要人员中包括洪某和伍某。相关信息如下图所示:

meU73eE.jpg!mobile 杭州至流科技有限公司主要人员信息

通过对奇客PDF转换器所使用的域名(hxxp:// http://www. qikels.com )进行溯源后,我们发现该软件所属公司(苏州奇客乐思网络科技有限公司)中主要人员也同样出现了洪某和伍某。相关信息如下图所示:

fQfmqu.jpg!mobile 苏州奇客乐思网络科技有限公司主要人员信息

三、 附录

病毒hash


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK