近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后，黑客可以远程控制用户电脑，进行任意操作，并将中招电脑作为傀儡机，进行DDOS攻击，严重危害个人信息安全和网络秩序。

一、主要流程

带木马的荒野求生辅助以免费形式发布在布衣论坛中                                          

图1

带木马的荒野求生辅助运行后界面如下

图2

该荒野求生辅助被用户下载运行后会释放运行两个木马文件：“过CRC检测.exe”和“防封插件.exe”。其中“防封插件.exe”，是一个远控木马，可以窃取用户电脑中的信息，下载执行任意文件。另外一个“过CRC检测.exe”，是一个DDOS木马，根据黑客指令进行定向攻击。

图3

二、防封插件.exe

防封插件.exe是一个加密木马的载体，该文件运行时会解密出具有远控功能的dll文件，并在内存中加载执行。

1.解密dll木马

木马作者加密木马程序后，把加密数据作为全局变量存储在防封插件.exe程序的全局数据区。

图4

解密木马的功能位于防封插件.exe程序的异常处理里。由程序主动抛出整型异常，进入相应的异常处理函数，解出木马。

图5

解密后的木马是一个dll文件。

图6

2.内存加载dll木马

防封插件.exe通过PELoader的方法，在内存中映射解密后的dll文件，并调用Dllmain执行。

图7

然后计算导出函数ForShare82的位置，调用导出函数。至此，木马本体已经完整加载到内存并运行。

图8

3.Dll木马功能

Dll木马具有远控功能，控制服务器地址：27.126.188.68，端口：522。该程序包含键盘记录、下发文件、注册表控制、服务控制等功能。

图9

键盘记录功能：判断键盘输入的内容，然后格式化键盘信息，过滤特殊按键（SHITF、CTRL等），最后重组成完整的输入信息，写入文件。

图 10

截屏功能：获取分辨率信息，然后进行截屏操作。

图11

其他控制功能：

图12

三、过CRC检测.exe

过CRC检测.exe程序根据注册表项SYSTEM\CurrentControlSet\Services\.Net CLR是否存在，判断程序是否第一次运行，首次运行会执行不同流程。

图13

1. 首次运行的执行流程

将自身以随机文件名拷贝到windows目录下

图14

将拷贝后的文件注册为自动启动的服务，服务名.Net CLR。

图15

修改服务描述信息为：Microsoft .NET COM+ Integration with SOAP以进一步迷惑用户。

图16

写注册表项SYSTEM\CurrentControlSet\Services\.Net CLR。

图17

删除原始木马文件。

图18

2. .Net CLR服务程序执行流程

由于首次运行时注册了服务，所以样本作为服务二次启动的时候就会进入另一个流程。

1)创建互斥体“.Net CLR”

图19

2)释放hra33.dll（这是一个lpk劫持dll），紧接着便更新dll的资源，然后加载dll。

图20

hra33.dll被加载之后，DllMain中立即运行恶意行为，遍历用户磁盘文件，每当发现一个exe文件时，便将自身拷贝到exe文件目录下，并将自身重命名为lpk.dll。

图21

3)创建局域网传播线程，尝试弱口令连接局域网内的用户，将自身拷贝到本地磁盘和局域网共享目录的C、D、E、F盘下并重命名为g1fd.exe，其中成功拷贝至C、D、E盘时，会以计划任务的方式直接启动。

图22

局域网传播中用到的部分用户名和弱口令

图23

4)创建三个远控线程。三个线程的控制功能是一致的，但连接的服务器不同，此外前2个线程会验证系统时间，当时间大于2013/2/21才会创建控制线程。

图24

远控线程1的连接，实测是无效连接。

图25

远控线程2的远程连接c&c 地址（z*******g.bid）端口是20199

图26

远控线程3的连接，服务器地址是加密的，解密后是27.126.188.68:520

图27

5)远控线程的主要功能

下载执行任意文件

图28

DDOS攻击

图29

使用远程命令行参数启动IE

图30

更新木马文件

图31

卸载自身

图32

四、溯源

通过对恶意样本的分析，找到了域名z*******g.bid，通过域名反查定位到域名相关的注册邮箱和联系电话。

图33

通过邮箱和手机定位到相关信息如下

图34