【快訊】
日前,火絨安全團隊發現,萬能壓縮、起點PDF閱讀器、迷你看圖王、新速壓縮、值購助手等一批軟體內置後門程序,該後門可用來下發任意模塊到用戶電腦隱秘執行,威脅極大。目前,我們發現其雲控下發的模塊會投放間諜木馬,用以收集用戶瀏覽器歷史記錄等信息。此外,該木馬還會利用QQ登錄憑證竊取QQ身份信息。
由於所述軟體通過官網和各下載站進行傳播和推廣,影響範圍較大,建議近期下載安裝過的用戶及時排查。火絨用戶無須擔心,火絨軟體最新版已對所述軟體中的後門程序進行攔截查殺。
分析發現,該後門程序下發的雲控配置,除了統計用戶電腦中軟體安裝情況外,主要用來收集用戶瀏覽器瀏覽記錄,並回傳至後臺。與以往我們披露的瀏覽器收集行為不同的是,該後門收集的瀏覽器歷史記錄已經具體到詳細的網頁地址,並可根據搜索的關鍵字隨時遠控收集行為和內容。
截至目前,所收集的瀏覽器網頁記錄多與舉報投訴類和財經類網站相關,包括12315、新浪投訴平臺、同花順財經等,但不排除後續通過雲控下發收集其它瀏覽記錄命令的可能。
此外,該後門程序投放的間諜木馬,還會利用用戶QQ登錄憑證,進入QQ空間竊取用戶的年齡、出生日期、性別等重要個人隱私信息並回傳至後臺,嚴重侵犯用戶隱私。
通過軟體和代碼溯源,我們發現上述軟體均為同源軟體產品,且與我們曾披露過的萬能壓縮、Clover等軟體(詳見報告《灰色產業鏈成病毒傳播最大渠道 流量生意或迎來最後的瘋狂》)帶有相似的遠程模塊的調用方式,或系同一家流氓軟體廠商所為。
近年來,流氓軟體廠商傳播的套路不再是靠簡單的劫持瀏覽器、捆綁推廣等方式,他們不僅開始與下載站等推廣平臺進行合作暗刷流量,甚至會內置後門程序,通過雲控下發各種侵權指令與病毒,來收集用戶各類隱私信息加以利用,並隨意操控用戶電腦,如本文描述的後門程序可以精準收集用戶瀏覽的網頁地址,監視用戶上網行為,其意圖和背後的危害令人細思極恐。對於此類損害用戶利益的流氓軟體和病毒程序,火絨都將及時的檢測攔截,保障用戶安全。
附:【分析報告】
一、詳細分析
此次涉及的惡意軟體眾多,內置的後門程序文件名稱各不相同,但是功能一致。下面以新速壓縮為例。後門程序主要分為兩個部分,Loruly.exe(雲控主程序)和Furtler.exe(加載信息收集雲控模塊)。首先Loruly.exe會獲取雲控模塊下發地址進而調用雲控模塊tsk_xsys.dll,雲控模塊被調用後會再次從雲控配置中獲取啟動Furtler.exe的相關參數,Furtler.exe啟動後會下載調用雲控模塊jp_zgzs.dll執行信息收集操作。
當惡意模塊Loruly.exe以參數「798」運行之後,會通過網址hxxp://down.zhilingshidai.com/ys/xs/423e4af7151aa3ba70daba0e1ed41473.xdi 下載並解密文件,相關代碼如下圖所示:
下載並解密文件
解密後的文件信息如下圖所示:
解密後的文件信息
再次對文件內容進行解密,得到<ffb335992>欄位數據為hxxp://down.zhilingshidai.com/ys/xs/syt.gif ,相關代碼如下圖所示:
解密加密欄位
當得到所需網址後,Loruly.exe便會下載並解密加載新的惡意模塊tsk_xsys.dll,相關代碼如下圖所示:
解密tsk_xsys.dll
tsk_xsys.dll被加載執行之後,會從資源中解密加載新的dll模塊f8fe27c76.dll,相關代碼如下圖所示:
解密加載資源模塊
資源信息
當f8fe27c76.dll被加載執行之後,會通過網址hxxp://down.zhilingshidai.com/ys/xs/487ea1ac3d6deca467bad0874fa5a14c.xdi下載遠程加密配置,解密後的配置及加密欄位所對應的明文如下圖所示:
解密後的配置文件信息
tsk_xsys.dll通過調用f8fe27c76.dll獲取到所需的配置信息後,便會創建進程,運行Furtler.exe,相關代碼如下圖所示:
運行Furtler.exe
Furtler.exe會根據其參數中的網址去下載執行遠程加密模塊jp_zgzs.dll的「Run」導出函數,相關代碼如下圖所示:
解密並加載遠程模塊
雲控模塊被調用後,首先會從雲控模塊資源中獲取雲控配置下發地址,之後雲控模塊會根據云控配置內容,收集用戶瀏覽器歷史記錄連結信息、啟動進程信息、安裝軟體信息,甚至還會利用QQ本地登錄憑證從QQ空間中獲取當前登錄QQ所有者的性別、年齡、生日等信息。雲控模塊中的配置數據以新速壓縮相關配置為例,相關數據,如下圖所示:
雲控模塊中的配置數據
獲取資源中配置數據相關代碼,如下圖所示:
獲取資源中配置
從資源配置中的F9362D05383C標籤中,可以解密出雲控配置下發地址:hxxp://down.zhilingshidai.com/ys/xs/b9fa14accdca53dba7c51ebf54d20ae4.xdi。雲控配置,如下圖所示:
雲控配置
上圖紅框部分配置為雲控收集任務列表,可以根據配置內容收集如性別、年齡、出生日期、瀏覽器歷史記錄等用戶隱私數據。下文中針對該流氓軟體的諸多信息收集行為進行分析。
個人信息收集
雲控模塊可以根據云控配置解密出惡意模塊的下載地址(hxxp://res.zhilingshidai.com/soft/upicV1.gif),之後雲控模塊會將惡意模塊下載到本地的%users%\AppData\LocalLow\JP\Down\sex.7z解壓執行。被下載到用戶本地的惡意模塊是一組「白加黑」惡意程序,雲控模塊首先會先通過遍歷進程查看QQ.exe進程是否啟動,之後調用symsrv.dll中的query_uin_json導出函數,symsrv.dll進而啟動同目錄下名為iexplore.exe的白文件,白文件啟動加載symsrv.dll利用QQ本地登錄憑證從QQ空間中獲取用戶的性別、年齡、生日等個人信息。解壓後的惡意模塊,如下圖所示:
下載到本地的「白加黑」惡意程序
名為「iexplore.exe」的文件信息,如下圖所示:
文件信息
下載執行遠程惡意模塊相關邏輯,如下圖所示:
下載執行遠程惡意模塊
symsrv.dll是以「白加黑「的形式被加載運行,當symsrv.dll同目錄下的iexplore.exe被運行時,會調用其導出函數「SymbolServerSetOptions」。相關代碼如下圖所示:
啟動iexplore.exe
Symsrv.dll導出函數
當「SymbolServerSetOptions」函數被運行後,首先通過訪問網址「xui.ptlogin2.qq.com」 ,「localhost.ptlogin2.qq.com」,「ptlogin2.qq.com」獲取用戶QQ的token,clientkey等信息,相關代碼如下圖所示:
獲取QQ token clientkey等信息
獲取完上述所需信息之後,惡意模塊便打開用戶QQ空間,獲取「ownerProfileSummary」欄位數據(「ownerProfileSummary」欄位中包含有用戶的QQ名稱、性別、年紀、地區、空間暱稱、空間籤名、生日等個人信息),相關代碼如下圖所示:
獲取用戶QQ空間「ownerProfileSummary」欄位信息
收集完用戶信息以後,程序會將個人信息封裝成JSON格式供其它模塊獲取使用,相關信息如下圖所示:
封裝個人信息為JSON格式
封裝後的個人信息
最終收集到的個人信息數據會通過HTTP請求的方式發送到C&C伺服器,其中Sex1和Sex2為現階段收集的用戶個人信息(性別:男女),但通過該惡意程序雲控模塊可以獲取性別、年齡和生日信息。相關請求數據,如下圖所示:
請求數據
瀏覽器歷史記錄收集
雲控配置中帶有需要收集的關鍵字,之後雲控模塊會根據關鍵字列表對瀏覽器歷史連結進行遍歷,一旦發現可以匹配到關鍵字的連結就會將連結記錄下來,回傳到C&C伺服器地址(hxxp://tji.zhilingshidai.com/gw-cdzg.php)。會被進行歷史記錄收集的瀏覽器列表,如下圖所示:
受影響的瀏覽器列表
Chrome內核瀏覽器歷史記錄信息收集邏輯中,首先會通過瀏覽器相關註冊表找到瀏覽器歷史資料庫文件,之後通過sqlite查詢歷史記錄信息。相關代碼,如下圖所示:
定位360安全瀏覽器歷史記錄資料庫位置
使用SQL語句,根據url和標題內容搜索相關歷史記錄信息,相關代碼,如下圖所示:
Chrome內核根據url和標題搜索收集歷史記錄
IE瀏覽器搜索搜集相關歷史記錄信息,相關代碼,如下圖所示:
IE瀏覽器遍歷歷史記錄
現階段被收集的歷史記錄信息內容多與舉報投訴類和財經類網站相關,包括12315、新浪投訴平臺、同花順財經等,但不排除後續通過雲控下發收集其它瀏覽記錄命令的可能性。該惡意模塊搜索收集邏輯為上傳第一個命中同類網站訪問歷史連結,被作為關鍵字的網站地址,如下圖所示:
被作為關鍵字的網站地址
上傳搜索到的歷史記錄連結,相關代碼,如下圖所示:
上傳命中關鍵字的歷史記錄信息
其他軟體環境信息收集
收集進程啟動信息,相關代碼,如下圖所示:
搜索匹配進程信息
通過註冊表卸載項的遍歷,收集本地安裝軟體信息,相關代碼,如下圖所示:
搜索本地卸載項
通過遍歷的方式獲取指定軟體的安裝情況
二、同源性分析
通過分析發現,具有上述惡意行為的程序如下圖所示:
涉及的惡意程序
加載遠程惡意模塊代碼同源性對比,如下圖所示:
加載遠程惡意模塊代碼同源性代碼對比
加載遠程惡意模塊代碼同源性代碼對比
三、附錄
病毒hash
(來源:火絨安全實驗室)