標籤:

病毒分析 | 一款史上最流氓的QQ營銷病毒

03-28

一、前言

在「流量為王」的時代,流量從某種意義上來講,就意味著金錢。一條依附在流量上的營銷產業鏈條正暗流涌動,他們依靠社交軟體這個平台,瘋狂加好友、加群,來散播廣告、色情、賭博等內容,從而獲取流量。

近日,金山毒霸安全實驗室發現新型QQ營銷病毒,感染到終端的網民無法退出QQ群,也無法舉報群,遇到了堪稱史上最為流氓的QQ營銷病毒。

據金山毒霸安全實驗室統計,QQ營銷病毒傳播感染量高達約15W余台。感染用戶電腦後會強行添加QQ好友、QQ群,邀請好友加群並自動發郵件給QQ營銷號。加群後,群內管理員會散播淫穢、賭博、詐騙等違法信息。

二、樣本分析

圖一:木馬傳播流程圖

1、木馬母體分析:

0x1.母體通過讀取資源DT_CONFIG內容,初始化基礎參數列表:

0x2.生成如下批處理文件,將文件拷貝到臨時目錄並以_temp_隨機名 命名,然後刪除自身

move "%s" "%s"

del /q "%s"

del /q "%s"

0x3.為了保證能正常訪問雲端後台,作者備選了若干C2地址(如下列表),通過訪問如sapi.zj3e.com/connect.t是否可用,如果當前不存在任何可用後台,直接退出,接下來病毒去訪問down.zj3e.com/fim/versi進行病毒模塊檢查更新(截至目前最新版本為1.0.70.41)

圖二:版本檢測請求

0x4.當更新完插件後,開始部署插件模塊,病毒從自身的資源中讀取DT_DLL 然後在temp目錄下釋放以security_隨機名.dll 的文件。

圖三:資源中內嵌PE文件

0x5. 釋放完該釋放的模塊後,母體開始枚舉窗口信息查找 TXGuiFoundation 窗口句柄,通過窗口句柄獲取進程ID以遠程線程的方式注入QQ

圖四:遠程線程方式注入QQ

0x6.將感染者的主機mac地址,渠道版本號,插件版本信息,構造成json格式的字元串

以RC4 +BASE64的方式加密向遠端C&C伺服器(sapi.zj3e.com/m.php?加密後的數據)發送終端計算機信息。

圖五:上報終端信息

2、security_xxx.dll分析:

該病毒模塊主要用於推廣QQ好友,QQ群,發郵件給營銷類QQ號,通常被推廣的QQ號和QQ群多會涉及賭博、淫穢、詐騙、高利貸等內容,病毒為了讓利益最大化會利用技術手段禁止用戶舉報和退群(受感染的終端環境)。禁止退群截圖如下所示:

圖六:禁止退群

病毒功能列表如下,我們2017.9月份捕獲過類似的QQ營銷病毒,並對此進行了分析,報告地址:

freebuf.com/column/1488,此篇報告將抽取與以往QQ營銷病毒不一樣的點進行功能分析

1.自動加群和邀請其他好友加群:

通過雲端獲取到要加的營銷QQ群和營銷QQ號後,利用QQ快速登錄獲取到的當前用戶uin、skey和token,登錄qun.qq.com/member.html獲取群數據,接下來請求qun.qq.com/cgi-bin/qun_ 獲取感染者QQ好友列表, qun.qq.com/cgi-bin/qun_發送添加群成員數據邀請QQ好友進群(圖七),並inline Hook了ShowWinow函數通窗口信息獲取函數得到窗體信息,如果是「添加好友窗口」和「添加群窗口」,模擬點擊完成自動添加(圖九)

圖七:邀請加群

圖八: 邀請QQ好友進群

圖九:模擬點擊

圖十:博彩廣告

2.禁止退群:

開發者通過逆向等技術手段得知禁止退群的導出函數,對Common.dll模塊中的?oi_symmetry_encrypt2@@YAXPBEH0PAEPAH@Z函數進行inline

Hook。

圖十一:禁止退群HOOK代碼

3.禁止舉報QQ群:

ShowWindow被inline Hook後判斷是否為舉報窗口並阻止用戶舉報。

圖十二:禁止舉報群

三、產業分析

如下圖所示,黑色產業鏈條從整體分工層次上看相對比較清晰,木馬作者、分發傳播、發布廣告構成了黑色產業鏈的關鍵環節。

圖十三:黑色產業鏈環節流程圖

從實際運作來看整個圈子又具有一定程度的複雜性,除了上述幾個重要參與角色,每個產業鏈環節還會有一些其他黑產人員參與其中,比如說賣感染者QQ號碼信息等,具有一定技術實力的團伙才是暴利所得者;可能會包攬整個鏈條的多個甚至是全部環節,其暴利收益自然也是最高的。

圖十四:黑產QQ群

四、作者溯源

作者在代碼中用了若快打碼平台(ruokuai.com),根據留下來的線索,我們發現作者一共使用該平台打碼了55W次。從打碼平台的登陸IP信息來看,作者是河南新鄉人,目前居住在四川,在2013年的時候已經開始學習盜號等技術。

圖十五:打碼平台

充值紀錄:

圖十六:充值記錄

作者常用登陸IP地址為四川省:

圖十七:作者常用登陸IP地址

疑似作者早期已經開始接觸盜號等技術。

圖十八:疑似作者在百度貼吧發貼

作者從2014年開始的登陸IP地址:

圖十九:2014年開始作者登陸IP地址

疑似作者QQ:

圖二十:疑似作者QQ號

五、總結

本文從典型樣本、黑產鏈條、追蹤等多個方面對「QQ營銷病毒」背後的黑色產業鏈進行了一些剖析總結,可以看出黑產的形成運作是一個複雜交錯的產物。我們對它的了解可能還比較片面,其中的」隱秘內幕」也遠超這篇文章所能揭露的。金山毒霸反病毒實驗室建議用戶做好下面的防範措施:

1. 安裝金山毒霸等安全軟體,金山毒霸可以有效對推廣軟體、後門程序、木馬等進行查殺,保護用戶安全

2. 養成良好上網習慣,不亂點擊不明來源的網頁鏈接,遠離賭博類、色情類網站。

本機構賬號將持續關注和發布各類安全熱點事件,歡迎大家關注我們哦!

獵豹漁村安全局 - 知乎

想查看更多過往的報告?可以點擊下面哦 :-D

我們的知乎文章匯總:點擊查看

我們的微博:漁村安全的微博

我們的微信公眾號:漁村安全

=

推薦閱讀:

WannaCry病毒利用漏洞--ms17010(永恆之藍)批量自檢工具
Avast---全球十大殺毒軟體之一

TAG:計算機病毒 |