今年6月，360安全卫士对“灵隐”木马做了预警。最近一段时间，这伙木马又开始活跃，我们也接到不少网友反馈称受到木马干扰，浏览器被篡改，部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。

传播

此类木马传播，仍然是通过打包修改各种外挂，捆绑木马程序，再通过网盘和各类游戏论坛传播。

通过分析传播者的文件列表可以看到作者打包了几十款外挂用来传播这一木马：

图1

有近400多个文件分享记录：

图2

安装

木马在安装过程中，会检测是否有安全软件运行，如果有则木马不进行安装。

这也是木马需要通过外挂打包传播的一个原因，使用外挂时，用户可能会关闭杀毒软件，给木马可乘之机！

图3

当关闭杀软之后，这个外挂开始下载木马到本地执行j[.]92dz.win:8080/bag/jc_102.zip

图4

分析时捕获的下载木马：

图5

木马释放一对DLL劫持程序

图6

通过注册Installed Components实现开机自启动：

图7

之后木马启动svchost.exe并挂起（如果安装有360会试图启动360DeskAna.exe并注入）

图8

将恶意代码写入到svchost.exe内存中并恢复进程

图9

图10

图11

危害：

1.   劫持浏览器，篡改浏览器快捷方式

木马会篡改数十款浏览器的快捷方式，添加导航。

图12

向任务栏锁定快捷方式

图13

2.删除系统中安装的某些软件。

木马会通过注册表查找ADSafe安装目录，如果发现则结束ADSafe.exe和ADSafeSvc.exe进程，并删除整个ADSafe安装目录（猜测是防止ADSafe影响其推广的导航收入）

图14

图15

3.进行软件推广

木马会常驻系统，并定时访问云控列表，将加密的列表下载到%Temp%data.tmp文件中

图16

解密后可以看到其推广列表：

图17

其中，开头部分的页面为推广导航页，用于修改浏览器首页

图18

后半部分内容为推广软件列表，可以进行云控推广。

4.进行木马更新并与防护软件对抗

木马在%windir%font目录下保存了多个配置文件

HX_Protect.ttf
ZT_Exe.ttf
ZT_Dll.ttf
HX_EXE_Pid.ttf

其中，ZT_Exe.ttf和ZT_Dll.ttf分布记录被利用exe和木马dll的路径。

HX_EXE_Pid.ttf这个记录当前木马进程PID

HX_Protect.ttf这个记录当前已被修改的首页

图19

木马内部还内置了一组木马更新地址：

图20

目前更新地址传播的是一组迅雷thundershell.exe的DLL劫持程序，功能上和之前安装的木马完全一致。

图21

同时，木马会循环查找两个窗口，若发现类名为“360ClassUploadFileNotify”的窗口，则会模拟鼠标点击其按钮。猜测是要退出该窗口。

图22

图23

图24

图25

而若发现类名为“TXGuiFoundation”的窗口，则将其隐藏

图26

图27

另外我们发现这款木马，也会通过进程列表判断网吧环境或系统中是否有影子系统。

图28

如果在网吧系统中，一些劫持功能不会执行。

非网吧系统下，会释放mydll.dll并设置为隐藏

图29

图30

完成后，加载该dll

图31

该dll主要做浏览器劫持，但由于木马调用时出错，导致该调用会崩溃。

追溯：

这个木马从4月30号出现以来经历了几次大规模传播，下面是我们统计到的木马的传播趋势。

图32

通过对其CC域名的注册信息查询

图33

可以看到域名是：

烟台润秋网络科技有限公司 主体注册的

同一个邮箱还注册了域名hongrensoft.cn 但访问量一直不高

而通过这家公司（ 烟台润秋网络科技有限公司）官方主页发现了一个联系QQ，我们在传播木马的网盘下边也发现了同样的联系方式。

http://www.runqiusoft.com/

图34

图35

因为域名注册信息，网站信息并不一定真实，但木马的控制和传播方的信息一致，由此我们猜测，456网盘维护者和“灵隐”木马的维护者应该是同一伙人。

另外，我们发现的传播源还包括789网盘（789xz.com），从注册用户名看，是同一个维护者。

图36