一、 綜述

　　近期，火絨安全團(tuán)隊(duì)截獲一批捆綁在《地下城與勇士》游戲外掛上的首頁(yè)劫持病毒。根據(jù)技術(shù)分析追溯，我們確定這些病毒的主要傳播源是一個(gè)游戲外掛網(wǎng)站，進(jìn)而發(fā)現(xiàn)，這個(gè)外掛站是一個(gè)巨大的“病毒窩點(diǎn)”，傳播的電腦病毒種類(lèi)之多、數(shù)量之大，令人驚訝。

　　總體說(shuō)來(lái)，該網(wǎng)站暗藏三類(lèi)病毒，一類(lèi)是游戲用戶(hù)深?lèi)和唇^的盜號(hào)木馬，二類(lèi)是控制用戶(hù)電腦，劫持首頁(yè)的后門(mén)病毒，三類(lèi)是強(qiáng)制捆綁安裝軟件的下載器病毒。該網(wǎng)站的用戶(hù)會(huì)被隨機(jī)感染數(shù)種病毒，電腦受到持久的多重侵害和騷擾。

　　這個(gè)游戲外掛網(wǎng)站是：

　　hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。

　　該站的運(yùn)作流程如下：

　　1、游戲外掛作者將自己開(kāi)發(fā)的外掛程序放到該網(wǎng)站進(jìn)行推廣，并設(shè)定每個(gè)外掛的金額；

　　2、代理商先付費(fèi)獲得代理資格，然后用各種方式（如QQ群等）推廣、銷(xiāo)售這些外掛程序，賺取代理費(fèi)。

　　《地下城與勇士》是一款用戶(hù)眾多的經(jīng)典網(wǎng)游，針對(duì)這款游戲的外掛數(shù)量巨大。電腦病毒制作者瞄準(zhǔn)該游戲的海量外掛用戶(hù)們，將各種電腦病毒和外掛程序捆綁在一起，進(jìn)行再打包，然后通過(guò)這個(gè)外掛平臺(tái)往外傳播。根據(jù)“火絨威脅情報(bào)系統(tǒng)”統(tǒng)計(jì)，被這些病毒感染的用戶(hù)，已經(jīng)覆蓋了全國(guó)大部分地區(qū)。

　　更為奇葩的是，除了盜取游戲賬號(hào)、控制用戶(hù)電腦鎖首（將首頁(yè)強(qiáng)行修改為“2345”導(dǎo)航站）之外，第三類(lèi)下載器病毒捆綁安裝的，竟然是老牌殺毒軟件“瑞星”。根據(jù)測(cè)試，這款“瑞星”裝入用戶(hù)電腦之后，各種正常的安全模塊都不開(kāi)啟，唯獨(dú)開(kāi)啟自我保護(hù)和彈窗廣告模塊——也就是說(shuō)，除了長(zhǎng)期駐留電腦騷擾用戶(hù)之外，沒(méi)有任何功能。根據(jù)軟件簽名和下載地址可以確認(rèn)，這款“專(zhuān)門(mén)彈窗版”瑞星殺毒軟件，并非外部團(tuán)伙的篡改和構(gòu)陷，而是來(lái)自于瑞星官方。

　　二、 病毒行為簡(jiǎn)述

　　病毒推廣站頁(yè)面如下圖所示：

　　圖1、外掛推廣網(wǎng)站

　　圖中所示，如“DNF XX輔助”就是屬于不同的外掛作者的推廣渠道，該網(wǎng)站中稱(chēng)之為端口。不同的推廣端口對(duì)應(yīng)的價(jià)格不同，經(jīng)過(guò)一段時(shí)間的驗(yàn)證我們發(fā)現(xiàn)，外掛帶毒主要集中在低價(jià)外掛區(qū)域，其外掛中不定期會(huì)捆綁病毒程序。該推廣站所涉及的病毒共有三類(lèi)，一類(lèi)是下載器病毒，一類(lèi)是通過(guò)漏洞傳播的盜號(hào)木馬，另一類(lèi)是具有首頁(yè)劫持功能的后門(mén)病毒。

　　2.1下載器病毒

　　我們?cè)谠撜?ldquo;DNF封神輔助”推廣端口下載到了捆綁此類(lèi)病毒的外掛。文件屬性如下圖所示：

　　圖2、文件屬性

　　外掛運(yùn)行后，界面如下圖所示：

　　圖3、外掛界面

　　其首先會(huì)釋放帶有數(shù)字簽名且文件名隨機(jī)的ThunderShell程序。如下圖所示：

　　圖4、文件屬性

　　ThunderShell程序啟動(dòng)時(shí)，會(huì)加載名為L(zhǎng)iveUDHelper.dll的病毒動(dòng)態(tài)庫(kù)，該動(dòng)態(tài)庫(kù)中包含惡意代碼。其加載后會(huì)啟動(dòng)系統(tǒng)svchost進(jìn)程對(duì)其進(jìn)程注入，注入內(nèi)容為L(zhǎng)iveUDHelper.dll中的一個(gè)子PE文件。該P(yáng)E文件中包含真正的下載器病毒代碼，執(zhí)行后會(huì)下載hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下圖所示：

　　圖5、惡意推廣行為日志

　　圖6、進(jìn)程樹(shù)

　　通過(guò)文件屬性我們可以看出其所下載的文件是一個(gè)7Z自解壓包，并且包含瑞星數(shù)字簽名，如下圖所示：

　　圖7、軟件安裝包

　　圖8、數(shù)字簽名詳細(xì)信息

　　更值得一提的是，該病毒與以往我們見(jiàn)到的惡意推廣病毒不同，其只推廣瑞星殺毒軟件，且其推廣的該版本瑞星殺毒軟件不具有任何殺毒功能，除了自保功能外，只會(huì)不定期彈出廣告，甚至連軟件主界面都無(wú)法正常啟動(dòng)。

　　軟件廣告彈窗，如下圖所示：

　　圖9、廣告彈窗

　　根據(jù)域名查詢(xún)結(jié)果，下載該版本瑞星殺毒軟件的域名（hxxp://dl. i1236.com）與瑞星官方論壇域名（hxxp://www.ikaka.com）的注冊(cè)人信息一致。如下圖所示：

　　圖10、域名信息對(duì)比

　　2.2盜號(hào)木馬

　　在個(gè)別低價(jià)外掛下載過(guò)程中會(huì)跳轉(zhuǎn)到一個(gè)漏洞頁(yè)面，如下圖所示：

　　圖11、漏洞頁(yè)面

　　上述頁(yè)面中利用MS14-064漏洞下載盜號(hào)木馬，漏洞觸發(fā)后，IE進(jìn)程樹(shù)如下圖所示：

　　圖12、進(jìn)程樹(shù)

　　木馬文件運(yùn)行后會(huì)先在系統(tǒng)環(huán)境中搜索騰訊游戲登錄相關(guān)的進(jìn)程，偽裝成騰訊游戲平臺(tái)的登錄界面，誘騙玩家輸入賬號(hào)密碼。如下圖所示：

　　圖 13、盜號(hào)木馬運(yùn)行界面

　　2.3后門(mén)病毒

　　我們?cè)谠撜?ldquo;DNF寶馬輔助”推廣端口下載到了捆綁此類(lèi)病毒的外掛。該病毒功能分為兩個(gè)部分：

　　1)Intel.exe與Intel.sys相互配合劫持瀏覽器首頁(yè)。

　　2)Intel.exe下載后門(mén)病毒Pack.exe，通過(guò)與C&C服務(wù)器通訊Pack.exe可以隨時(shí)執(zhí)行多種DDOS攻擊。

　　因?yàn)楹箝T(mén)病毒的威脅級(jí)別更高，所以后文中統(tǒng)稱(chēng)其為后門(mén)病毒。捆綁后門(mén)病毒的外掛文件屬性，如下圖所示：

　　圖14、文件屬性

　　外掛運(yùn)行界面如下圖所示：

　　圖15、外掛運(yùn)行界面

　　外掛文件運(yùn)行后，表面與一般外掛程序并沒(méi)有什么不同，但是火絨劍進(jìn)程樹(shù)中我們可以看到，其后臺(tái)執(zhí)行的行為非常之多。如下圖所示：

　　圖16、外掛進(jìn)程樹(shù)

　　外掛進(jìn)程在釋放帶有數(shù)字簽名360Tray.exe之后，會(huì)將其啟動(dòng)并對(duì)其進(jìn)行注入。注入后，360Tray.exe會(huì)加載nike.dll動(dòng)態(tài)庫(kù)釋放其主要病毒文件。如下圖所示：

　　圖17、文件屬性

　　圖18、病毒行為展示

　　Intel.exe和Intel.sys相互配合會(huì)劫持瀏覽器首頁(yè)，在用戶(hù)啟動(dòng)瀏覽器的時(shí)候Intel.sys會(huì)結(jié)束原有進(jìn)程，之后由Intel.exe再次啟動(dòng)瀏覽器進(jìn)程，并在參數(shù)中加入劫持網(wǎng)址。劫持效果如下圖所示：

　　圖 19、首頁(yè)劫持

　　劫持網(wǎng)址為：hxxp://www.dresou.com/219671.htm，訪(fǎng)問(wèn)該網(wǎng)址后會(huì)直接跳轉(zhuǎn)到hxxp://www.2345.com/?33483進(jìn)行流量套現(xiàn)。劫持效果如下圖所示：

　　圖20、劫持IE首頁(yè)

　　圖21、劫持參數(shù)

　　病毒劫持的瀏覽器如下圖所示：

　　microsoftedge、baidubrowser、maxthon、firefox、liebao、ucbrowser、

　　qqbrowser、sogouexplorer、2345explorer、chrome、theworld、safari、

　　netscape、twchrome、360chrome、360se、iexplore、115chrome

　　被劫持瀏覽器

　　Intel.exe除首頁(yè)劫持功能外，還會(huì)聯(lián)網(wǎng)在C&C服務(wù)器（hxxp://main.dresou.net）下載后門(mén)病毒pack.exe。pack.exe會(huì)先將自身文件以svchost的文件名復(fù)制到Temp目錄中，再由其釋放的假spoolsv啟動(dòng)假svchost執(zhí)行后門(mén)邏輯。如下圖所示：

　　圖22、進(jìn)程樹(shù)

　　圖23、假svchost網(wǎng)絡(luò)連接狀態(tài)

　　假svchost是個(gè)后門(mén)病毒，連接C&C服務(wù)器的45678端口獲取控制命令。根據(jù)從C&C服務(wù)器所傳回的控制信息，該后門(mén)病毒可以清空IE瀏覽器緩存、發(fā)起洪水攻擊或者從C&C下載執(zhí)行其他惡意程序。其用來(lái)清除瀏覽器緩存的程序基本屬性如下圖所示：

　　圖24、文件屬性

　　該后門(mén)病毒可以執(zhí)行的洪水攻擊類(lèi)型如下圖所示：

　　SYN Flood、Connect Flood、UDP Flood、ICMP Flood、

　　TCP Flood、HTTP Flood、DNS Flood

　　Intel.sys會(huì)在系統(tǒng)內(nèi)核級(jí)保護(hù)Intel.exe、Intel.sys及其自身相關(guān)的注冊(cè)表鍵值。因?yàn)镮ntel.exe是后門(mén)病毒的釋放者，所以不通過(guò)內(nèi)核級(jí)工具是無(wú)法徹底清除后門(mén)病毒。在啟動(dòng)外掛后，用戶(hù)就會(huì)完全變成病毒作者的“傀儡”。

　　依托于該外掛推廣站的“黑產(chǎn)”套現(xiàn)渠道眾多，其中包含外掛推廣、惡意軟件推廣、流量劫持推廣、盜號(hào)獲利、利用后門(mén)病毒組織DDOS攻擊敲詐獲利。一旦走進(jìn)其套現(xiàn)鏈條，用戶(hù)就會(huì)完全變成病毒作者的獲利工具，造成持久性安全威脅。

　　根據(jù)“火絨威脅情報(bào)分析系統(tǒng)”提供的統(tǒng)計(jì)數(shù)據(jù)，該病毒已經(jīng)在全國(guó)范圍內(nèi)進(jìn)行傳播。受該病毒影響的省市地區(qū)如下圖所示：

　　圖25、病毒流行區(qū)域

　　三、詳細(xì)分析

　　如前文所述，該網(wǎng)站涉及傳播共三組不同的病毒，下載器病毒、通過(guò)漏洞傳播的盜號(hào)木馬和后門(mén)病毒，下面我們將其按照分組進(jìn)行詳細(xì)分析。

　　3.1下載器病毒

　　該組惡意程序是一組“白加黑”病毒，白文件ThunderShell程序啟動(dòng)時(shí)會(huì)加載名為L(zhǎng)iveUDHelper.dll的動(dòng)態(tài)庫(kù)。病毒作者通過(guò)劫持動(dòng)態(tài)庫(kù)的方式使ThunderShell加載病毒動(dòng)態(tài)庫(kù)，其邏輯為啟動(dòng)系統(tǒng)svchost進(jìn)程并對(duì)其進(jìn)行注入，注入內(nèi)容是該動(dòng)態(tài)庫(kù)中的一個(gè)子PE文件。動(dòng)態(tài)庫(kù)與其子PE文件均為易語(yǔ)言編寫(xiě)，LiveUDHelper.dll加載到內(nèi)存中后，我們可以看到與其邏輯相關(guān)的信息。如下圖所示：

　　圖26、病毒相關(guān)信息

　　最終，被注入的svchost進(jìn)程會(huì)在安裝包地址（hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe）下載捆綁軟件安裝包進(jìn)行安裝。安裝包運(yùn)行行為如下圖所示：

　　圖27、安裝包行為

　　3.2盜號(hào)木馬

　　病毒利用MS14-064漏洞進(jìn)行傳播，漏洞相關(guān)代碼如下圖所示：

　　圖28、漏洞代碼

　　該漏洞觸發(fā)成功后會(huì)在C:\Windows\Temp目錄釋放text.vbs并執(zhí)行。腳本內(nèi)容如下圖所示：

　　圖29、腳本內(nèi)容

　　執(zhí)行該腳本會(huì)從C&C服務(wù)器（hxxp://www.baidu2233.com）下載病毒文件，釋放到C:\Windows\Temp目錄中名為svchot.exe。svchot.exe是Downloader病毒會(huì)聯(lián)網(wǎng)（hxxp:// 115.231.8.27）下載病毒注入器svch.exe。svch.exe運(yùn)行后，先會(huì)聯(lián)網(wǎng)（hxxp:// 121.12.125.238）下載盜號(hào)木馬，之后會(huì)啟動(dòng)系統(tǒng)svchost，用盜號(hào)木馬的映像數(shù)據(jù)對(duì)svchost進(jìn)程進(jìn)行映像覆蓋。當(dāng)盜號(hào)木馬檢測(cè)到游戲進(jìn)程時(shí)，盜號(hào)木馬首先會(huì)結(jié)束檢測(cè)到的游戲進(jìn)程，之后啟動(dòng)其偽造游戲登錄界面，誘騙用戶(hù)輸入賬號(hào)密碼。

　　盜號(hào)木馬所檢測(cè)的進(jìn)程名如下：

　　DNF.exe 、TenioDL.exe、TenSafe_1.exe、TASLogin.exe、

　　Client.exe、TPHelper.exe、Tencentdl.exe、TXPlatform.exe、

　　TclsQmFix.exe、TclsQmFix.exe

　　3.3后門(mén)病毒

　　通過(guò)該網(wǎng)站進(jìn)行傳播的后門(mén)病毒涉及文件較多，文件相關(guān)性如下圖所示：

　　圖30、文件關(guān)系圖

　　1.IS.exe

　　該組病毒的直接釋放源為IS.exe，該程序由VMProtect加殼。通過(guò)火絨行為沙盒，我們可以看到病毒的釋放邏輯。如下圖所示：

　　圖31、IS.exe執(zhí)行的病毒行為

　　2.Intel.exe

　　Intel.exe是與Intel.sys相互配合進(jìn)行劫持首頁(yè)的程序，Intel.sys所用到的關(guān)鍵數(shù)據(jù)都是由Intel.exe解密后通過(guò)調(diào)用FilterSendMessage函數(shù)進(jìn)行發(fā)送的，如果沒(méi)有Intel.exe發(fā)送數(shù)據(jù)，則Intel.sys驅(qū)動(dòng)不會(huì)起到任何功能。Intel.sys與Intel.exe通過(guò)Intel.txt進(jìn)行通訊，Intel.exe會(huì)根據(jù)Intel.txt中的瀏覽器路徑啟動(dòng)新的瀏覽器進(jìn)程，并在啟動(dòng)參數(shù)中加入劫持網(wǎng)址。Intel.exe主要功能代碼如下圖所示：

　　圖32、Intel.exe主要邏輯

　　關(guān)鍵數(shù)據(jù)全都是經(jīng)過(guò)算法加密的，解密邏輯我們選取了部分代碼進(jìn)行舉例說(shuō)明。大致邏輯為，先按照加密數(shù)據(jù)粒度調(diào)用decode函數(shù)進(jìn)行解密，解密后再將需要轉(zhuǎn)為寬字符的字符串進(jìn)行處理。如下圖所示：

　　圖33、部分解密邏輯

　　解密流程是利用生成的數(shù)據(jù)字典，按照數(shù)據(jù)塊粒度進(jìn)行逐數(shù)據(jù)塊的解密。如下圖所示：

　　圖34、數(shù)據(jù)解密

　　Intel.exe除首頁(yè)劫持功能外還會(huì)下載packxx.exe在本地進(jìn)行執(zhí)行，下載地址為hxxp://www.dresou.net/packxx.exe(xx代表數(shù)字1~3)。

　　3.Intel.sys

　　Intel.sys驅(qū)動(dòng)中通過(guò)注冊(cè)mini文件過(guò)濾的方式對(duì)一些文件的操作進(jìn)行了干擾，不但該驅(qū)動(dòng)對(duì)與自己相關(guān)的病毒文件進(jìn)行了保護(hù)，還對(duì)一些安全軟件的可執(zhí)行文件（QQPCTray.exe和SuperKiller.exe）進(jìn)行限制。代碼如下圖所示：

　　圖35、文件過(guò)濾代碼

　　調(diào)用CmRegisterCallback函數(shù)添加注冊(cè)表回調(diào)保護(hù)Intel.exe和Intel.sys的相關(guān)注冊(cè)表鍵值。如下圖所示：

　　圖36、注冊(cè)表過(guò)濾

　　Intel.sys會(huì)檢測(cè)不同的Windows版本來(lái)調(diào)用PsSetCreateProcessNotifyRoutineEx或者PsSetCreateProcessNotifyRoutine注冊(cè)進(jìn)程回調(diào)，禁止啟動(dòng)一些瀏覽器進(jìn)程，再通過(guò)通訊方式轉(zhuǎn)由Intel.exe加入劫持網(wǎng)址之后進(jìn)行啟動(dòng)。大部分瀏覽器都是在參數(shù)中直接加入劫持網(wǎng)址，對(duì)不能接受網(wǎng)址參數(shù)瀏覽器則直接啟動(dòng)IE。如果是Intel.exe啟動(dòng)的瀏覽器進(jìn)程，在啟動(dòng)進(jìn)程不為pack.exe且進(jìn)程啟動(dòng)參數(shù)與自己劫持的網(wǎng)址不一樣時(shí)也會(huì)禁止進(jìn)程啟動(dòng)，設(shè)置全局事件對(duì)象后，由Intel.exe再次嘗試劫持。如下圖所示：

　　圖37、進(jìn)程回調(diào)代碼

　　圖38、瀏覽器劫持相關(guān)代碼

　　調(diào)用PsSetLoadImageNotifyRoutine函數(shù)注冊(cè)映像加載回調(diào)，在回調(diào)函數(shù)中創(chuàng)建線(xiàn)程在映像加載過(guò)程中結(jié)束瀏覽器進(jìn)程。如下圖所示：

　　圖39、結(jié)束進(jìn)程相關(guān)代碼

　　4.Pack.exe

　　Pack.exe是一個(gè)后門(mén)病毒，可以用于進(jìn)行多種DDOS攻擊。其首先會(huì)在Temp目錄中釋放兩個(gè)PE文件（spoolsv.exe和iexplore.exe），并將自身復(fù)制為T(mén)emp目錄中的svchost.exe。之后啟動(dòng)spoolsv.exe，再由該進(jìn)程啟動(dòng)其自身的復(fù)制體Temp目錄下的svchost.exe執(zhí)行后門(mén)邏輯。如下圖所示：

　　圖40、釋放PE文件

　　釋放文件結(jié)束后便會(huì)開(kāi)始執(zhí)行其后門(mén)功能，該病毒與C&C服務(wù)器的通訊數(shù)據(jù)是以“|”進(jìn)行分割，以“end”結(jié)尾的字符串。第一次通訊根據(jù)傳來(lái)字符串?dāng)?shù)據(jù)的長(zhǎng)度分別執(zhí)行五種不同的操作：

　　1)獲取主機(jī)信息，信息包括語(yǔ)言、系統(tǒng)版本、CPU主頻、物理內(nèi)存大小和網(wǎng)絡(luò)傳輸速度。

　　2)接受服務(wù)器發(fā)來(lái)的攻擊數(shù)據(jù)，包含攻擊地址、攻擊類(lèi)型、攻擊次數(shù)及組成DDOS攻擊網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)數(shù)據(jù)。

　　3)返回主機(jī)狀態(tài)，如占用或閑置。

　　4)重置主機(jī)攻擊狀態(tài)，主要用于停止攻擊。

　　5)開(kāi)始發(fā)起攻擊。

　　如下圖所示：

　　圖41、控制代碼

　　該后門(mén)病毒可以實(shí)現(xiàn)的DDOS攻擊類(lèi)型共有七種，包括SYN Flood、Connect Flood、UDP Flood 、ICMP Flood、TCP Flood、DNS Flood及HTTP Flood。如下圖所示：

　　圖42、攻擊代碼

　　除了DDOS攻擊外，該后門(mén)病毒還可以運(yùn)行主機(jī)的本地文件或者從遠(yuǎn)程服務(wù)器中下載并執(zhí)行可執(zhí)行文件。如下圖所示：

　　圖43、后門(mén)病毒代碼

　　在后門(mén)病毒需要更新時(shí)，可以通過(guò)運(yùn)行其釋放在Temp目錄中的iexplore.exe清理Temp目錄并清除網(wǎng)絡(luò)緩存。

　　5.病毒釋放的iexplore.exe

　　該程序主要用于清理Temp目錄和清除網(wǎng)絡(luò)緩存。其主要會(huì)運(yùn)行兩條cmd命令：

　　rmdir /s/q "C:\Users\test\AppData\Local\Temp\"

　　rmdir /s/q "C:\Users\test\AppData\Local\Microsoft\Windows\INetCookies"

　　6.病毒釋放的spoolsv.exe

　　該程序只負(fù)責(zé)啟動(dòng)Temp目錄中的svchost.exe。如下圖所示：

　　圖44、spoolsv.exe主要功能

　　四、附錄

　　下載報(bào)告鏈接：http://down4.huorong.cn/doc/gamepatch.pdf