近期,金山毒霸安全试验室发现,从中国电信股分有限公司江苏分公司网站下载的天翼校园校园客户端存在暗刷流量,偷偷挖矿行动,让校园用户沦为他们攫取利益的“肉鸡”。
一、概述文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
“天翼校园客户端”是中国电信为校园学生提供的宽带接入以及利用集成软件,可对中国电信天翼宽带WiFi、天翼宽带3G、天翼宽带1X和有线宽带网络进行接入。近期,金山毒霸安全试验室发现,从中国电信股分有限公司江苏分公司网站下载的天翼校园校园客户端存在暗刷流量,偷偷挖矿行动,让校园用户沦为他们攫取利益的“肉鸡”。文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
图:天翼校园客户端文件信息文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
“天翼校园客户端“安装包运行后,后门病毒即被植入电脑。该病毒会走访远程C&C服务器寄存的广告配置文件,然后构造暗藏IE阅读器窗口执行暗刷流量,同时也会释放门罗币挖矿者进行挖矿。安装包总体逻辑如下图所示:文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
将安装包进行安装后,咱们可以在安装目录中看到speedtest.dll,如下图所示:文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
二、母体模块分析文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
speedtest.dll扮演“母体”的角色,主要是下载、释放文件并解密加载模块。首先它会去走访天翼宽带服务器做为开关,表示是不是联网胜利,文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
图:代码片断文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
shellcode解密gif 还原成PE文件:文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
speedtest.dll线程二,会联网去下一个名叫”adview.db”的文件(为上述描写中smart.gif(广告刷量模块)的更新版本,独一不同的是新版本中携带了门罗币挖矿模块),一样的以shellcode的方式去解密并加载“adview.db”。当新版本的广告刷量模块被加载后,旧版本广告刷量模块则会被关闭。文章源自微观生活(93wg.com)微观生活-https://93wg.com/22721.html
l 新版广告刷量模块下载地址:hxxp://bmp.uvmama.com/adview.db
到此母体的工作已经收场。
三、广告刷量模块分析
当解密后的广告刷量模块被执行后,它会创立一个暗藏的IE Frame控件,通过读取云端配置文件,后台摹拟发送鼠标、键盘动静,用于操控窗口,同时“屏蔽” 音媒体装备接口函数,避免被用户发现。
图:流程图
1. 由于广告中可能会存在视频声音,为不让用户发现,病毒会“屏蔽”音媒体装备,避免在刷广告流量时发出声音。
图:HooK音媒体装备接口函数
2.然后通过走访hxxp://click.uvmama.com/smartmaster.php读取配置文件然落后行解密,获取广告配置文件,该配置会定时更新,每一次获取到的广告链接都不同样。
广告流量包括下列这些站点(约400个广告链接):
l hxxp://www.iizero.com
l hxxp://123.hao245.com
l hxxp://www.maogoule.com
l hxxps://www.taobao.com
3.读取解密后的配置文件,获取操作模式,区域坐标,点击坐标等相关信息。
图:读取配置文件
图:解密后的配置文件
操作模式一共有25几种,如下图说明:
4.通过发送鼠标动静进行点击。
下图为显示窗口后的广告刷量窗口:
图:广告展现一
图:广告展现二
注:默许是看不到这个窗口,通过hide标记弹出的。
四、挖矿模块功能分析
通过 pdb信息得知,该挖矿模块属于门罗币挖矿者。
图:pdb信息
挖矿服务器IP地址:116.62.42.211 端口: 8080
当该模块被加载运行后,CPU占用率相对于会高,与以往的挖矿病毒不同,该挖矿程序未直接在本地存储矿池钱包等信息, 钱包信息存储在服务器。
图:CPU占用率
下图代码是与服务端进行通讯,将计算结果返回矿池:
挖矿病毒与服务端的通讯数据包:
挖矿启动输出的日志:
五、同源样本发掘
依据金山毒霸安全试验室监控发现,带有该后门病毒的安装包其实不只有“天翼校园客户端“,进行排查以后,咱们发现签名为“中国电信股分有限公司”的一款日历程序,也包括该后门病毒。
对speedtest.dll以及日历程序中的代码片断对照,可见同源性代码及数据,如下图所示:
图:代码同源性对照
六、Whois溯源查询
通过几个域名地址,可以查询到下列相关相信:
uvmama.com | 276389331@qq.com |
52gold.net | yaomaiyumingzhaowo@126.com |
aliuv.com | 276389331@qq.com |
七、附录
6FB81910719B17972E81C9E374650B80 |
536611B914F8496E6F136799F23C3C7B |
56F326136B342E6B8A930FD1C8BA8BB7 |
B3974150CFA4E9790B5134AD1B49F69F |
3817B88C054805DAF28081860BAA1224 |
F339EE0959AEBABACF7D5BFC79959EEF |
uvmama.com |
52gold.net |
aliuv.com |
http://pre.f-young.cn/ |
以上就是微观生活(93wg.com)关于“天翼校园客户端被植入病毒 中毒电脑被用来“挖矿””的详细内容,希望对大家有所帮助!
评论