一、 綜述

　　近期，火絨安全團隊截獲一批捆綁在《地下城與勇士》游戲外掛上的首頁劫持病毒。根據(jù)技術(shù)分析追溯，我們確定這些病毒的主要傳播源是一個游戲外掛網(wǎng)站，進而發(fā)現(xiàn)，這個外掛站是一個巨大的“病毒窩點”，傳播的電腦病毒種類之多、數(shù)量之大，令人驚訝。

　　總體說來，該網(wǎng)站暗藏三類病毒，一類是游戲用戶深惡痛絕的盜號木馬，二類是控制用戶電腦，劫持首頁的后門病毒，三類是強制捆綁安裝軟件的下載器病毒。該網(wǎng)站的用戶會被隨機感染數(shù)種病毒，電腦受到持久的多重侵害和騷擾。

　　這個游戲外掛網(wǎng)站是：

　　hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。

　　該站的運作流程如下：

　　1、游戲外掛作者將自己開發(fā)的外掛程序放到該網(wǎng)站進行推廣，并設(shè)定每個外掛的金額；

　　2、代理商先付費獲得代理資格，然后用各種方式（如QQ群等）推廣、銷售這些外掛程序，賺取代理費。

　　《地下城與勇士》是一款用戶眾多的經(jīng)典網(wǎng)游，針對這款游戲的外掛數(shù)量巨大。電腦病毒制作者瞄準該游戲的海量外掛用戶們，將各種電腦病毒和外掛程序捆綁在一起，進行再打包，然后通過這個外掛平臺往外傳播。根據(jù)“火絨威脅情報系統(tǒng)”統(tǒng)計，被這些病毒感染的用戶，已經(jīng)覆蓋了全國大部分地區(qū)。

　　更為奇葩的是，除了盜取游戲賬號、控制用戶電腦鎖首（將首頁強行修改為“2345”導航站）之外，第三類下載器病毒捆綁安裝的，竟然是老牌殺毒軟件“瑞星”。根據(jù)測試，這款“瑞星”裝入用戶電腦之后，各種正常的安全模塊都不開啟，唯獨開啟自我保護和彈窗廣告模塊——也就是說，除了長期駐留電腦騷擾用戶之外，沒有任何功能。根據(jù)軟件簽名和下載地址可以確認，這款“專門彈窗版”瑞星殺毒軟件，并非外部團伙的篡改和構(gòu)陷，而是來自于瑞星官方。

　　二、 病毒行為簡述

　　病毒推廣站頁面如下圖所示：

　　圖1、外掛推廣網(wǎng)站

　　圖中所示，如“DNF XX輔助”就是屬于不同的外掛作者的推廣渠道，該網(wǎng)站中稱之為端口。不同的推廣端口對應(yīng)的價格不同，經(jīng)過一段時間的驗證我們發(fā)現(xiàn)，外掛帶毒主要集中在低價外掛區(qū)域，其外掛中不定期會捆綁病毒程序。該推廣站所涉及的病毒共有三類，一類是下載器病毒，一類是通過漏洞傳播的盜號木馬，另一類是具有首頁劫持功能的后門病毒。

　　2.1下載器病毒

　　我們在該站“DNF封神輔助”推廣端口下載到了捆綁此類病毒的外掛。文件屬性如下圖所示：

　　圖2、文件屬性

　　外掛運行后，界面如下圖所示：

　　圖3、外掛界面

　　其首先會釋放帶有數(shù)字簽名且文件名隨機的ThunderShell程序。如下圖所示：

　　圖4、文件屬性

　　ThunderShell程序啟動時，會加載名為LiveUDHelper.dll的病毒動態(tài)庫，該動態(tài)庫中包含惡意代碼。其加載后會啟動系統(tǒng)svchost進程對其進程注入，注入內(nèi)容為LiveUDHelper.dll中的一個子PE文件。該PE文件中包含真正的下載器病毒代碼，執(zhí)行后會下載hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下圖所示：

　　圖5、惡意推廣行為日志

　　圖6、進程樹

　　通過文件屬性我們可以看出其所下載的文件是一個7Z自解壓包，并且包含瑞星數(shù)字簽名，如下圖所示：

　　圖7、軟件安裝包

　　圖8、數(shù)字簽名詳細信息

　　更值得一提的是，該病毒與以往我們見到的惡意推廣病毒不同，其只推廣瑞星殺毒軟件，且其推廣的該版本瑞星殺毒軟件不具有任何殺毒功能，除了自保功能外，只會不定期彈出廣告，甚至連軟件主界面都無法正常啟動。

　　軟件廣告彈窗，如下圖所示：

　　圖9、廣告彈窗

　　根據(jù)域名查詢結(jié)果，下載該版本瑞星殺毒軟件的域名（hxxp://dl. i1236.com）與瑞星官方論壇域名（hxxp://www.ikaka.com）的注冊人信息一致。如下圖所示：

　　圖10、域名信息對比

　　2.2盜號木馬

　　在個別低價外掛下載過程中會跳轉(zhuǎn)到一個漏洞頁面，如下圖所示：

　　圖11、漏洞頁面

　　上述頁面中利用MS14-064漏洞下載盜號木馬，漏洞觸發(fā)后，IE進程樹如下圖所示：

　　圖12、進程樹

　　木馬文件運行后會先在系統(tǒng)環(huán)境中搜索騰訊游戲登錄相關(guān)的進程，偽裝成騰訊游戲平臺的登錄界面，誘騙玩家輸入賬號密碼。如下圖所示：

　　圖 13、盜號木馬運行界面

　　2.3后門病毒

　　我們在該站“DNF寶馬輔助”推廣端口下載到了捆綁此類病毒的外掛。該病毒功能分為兩個部分：

　　1)Intel.exe與Intel.sys相互配合劫持瀏覽器首頁。

　　2)Intel.exe下載后門病毒Pack.exe，通過與C&C服務(wù)器通訊Pack.exe可以隨時執(zhí)行多種DDOS攻擊。

　　因為后門病毒的威脅級別更高，所以后文中統(tǒng)稱其為后門病毒。捆綁后門病毒的外掛文件屬性，如下圖所示：

　　圖14、文件屬性

　　外掛運行界面如下圖所示：

　　圖15、外掛運行界面

　　外掛文件運行后，表面與一般外掛程序并沒有什么不同，但是火絨劍進程樹中我們可以看到，其后臺執(zhí)行的行為非常之多。如下圖所示：

　　圖16、外掛進程樹

　　外掛進程在釋放帶有數(shù)字簽名360Tray.exe之后，會將其啟動并對其進行注入。注入后，360Tray.exe會加載nike.dll動態(tài)庫釋放其主要病毒文件。如下圖所示：

　　圖17、文件屬性

　　圖18、病毒行為展示

　　Intel.exe和Intel.sys相互配合會劫持瀏覽器首頁，在用戶啟動瀏覽器的時候Intel.sys會結(jié)束原有進程，之后由Intel.exe再次啟動瀏覽器進程，并在參數(shù)中加入劫持網(wǎng)址。劫持效果如下圖所示：

　　圖 19、首頁劫持

　　劫持網(wǎng)址為：hxxp://www.dresou.com/219671.htm，訪問該網(wǎng)址后會直接跳轉(zhuǎn)到hxxp://www.2345.com/?33483進行流量套現(xiàn)。劫持效果如下圖所示：

　　圖20、劫持IE首頁

　　圖21、劫持參數(shù)

　　病毒劫持的瀏覽器如下圖所示：

　　microsoftedge、baidubrowser、maxthon、firefox、liebao、ucbrowser、

　　qqbrowser、sogouexplorer、2345explorer、chrome、theworld、safari、

　　netscape、twchrome、360chrome、360se、iexplore、115chrome

　　被劫持瀏覽器

　　Intel.exe除首頁劫持功能外，還會聯(lián)網(wǎng)在C&C服務(wù)器（hxxp://main.dresou.net）下載后門病毒pack.exe。pack.exe會先將自身文件以svchost的文件名復制到Temp目錄中，再由其釋放的假spoolsv啟動假svchost執(zhí)行后門邏輯。如下圖所示：

　　圖22、進程樹

　　圖23、假svchost網(wǎng)絡(luò)連接狀態(tài)

　　假svchost是個后門病毒，連接C&C服務(wù)器的45678端口獲取控制命令。根據(jù)從C&C服務(wù)器所傳回的控制信息，該后門病毒可以清空IE瀏覽器緩存、發(fā)起洪水攻擊或者從C&C下載執(zhí)行其他惡意程序。其用來清除瀏覽器緩存的程序基本屬性如下圖所示：

　　圖24、文件屬性

　　該后門病毒可以執(zhí)行的洪水攻擊類型如下圖所示：

　　SYN Flood、Connect Flood、UDP Flood、ICMP Flood、

　　TCP Flood、HTTP Flood、DNS Flood

　　Intel.sys會在系統(tǒng)內(nèi)核級保護Intel.exe、Intel.sys及其自身相關(guān)的注冊表鍵值。因為Intel.exe是后門病毒的釋放者，所以不通過內(nèi)核級工具是無法徹底清除后門病毒。在啟動外掛后，用戶就會完全變成病毒作者的“傀儡”。

　　依托于該外掛推廣站的“黑產(chǎn)”套現(xiàn)渠道眾多，其中包含外掛推廣、惡意軟件推廣、流量劫持推廣、盜號獲利、利用后門病毒組織DDOS攻擊敲詐獲利。一旦走進其套現(xiàn)鏈條，用戶就會完全變成病毒作者的獲利工具，造成持久性安全威脅。

　　根據(jù)“火絨威脅情報分析系統(tǒng)”提供的統(tǒng)計數(shù)據(jù)，該病毒已經(jīng)在全國范圍內(nèi)進行傳播。受該病毒影響的省市地區(qū)如下圖所示：

　　圖25、病毒流行區(qū)域

　　三、詳細分析

　　如前文所述，該網(wǎng)站涉及傳播共三組不同的病毒，下載器病毒、通過漏洞傳播的盜號木馬和后門病毒，下面我們將其按照分組進行詳細分析。

　　3.1下載器病毒

　　該組惡意程序是一組“白加黑”病毒，白文件ThunderShell程序啟動時會加載名為LiveUDHelper.dll的動態(tài)庫。病毒作者通過劫持動態(tài)庫的方式使ThunderShell加載病毒動態(tài)庫，其邏輯為啟動系統(tǒng)svchost進程并對其進行注入，注入內(nèi)容是該動態(tài)庫中的一個子PE文件。動態(tài)庫與其子PE文件均為易語言編寫，LiveUDHelper.dll加載到內(nèi)存中后，我們可以看到與其邏輯相關(guān)的信息。如下圖所示：

　　圖26、病毒相關(guān)信息

　　最終，被注入的svchost進程會在安裝包地址（hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe）下載捆綁軟件安裝包進行安裝。安裝包運行行為如下圖所示：

　　圖27、安裝包行為

　　3.2盜號木馬

　　病毒利用MS14-064漏洞進行傳播，漏洞相關(guān)代碼如下圖所示：

　　圖28、漏洞代碼

　　該漏洞觸發(fā)成功后會在C:\Windows\Temp目錄釋放text.vbs并執(zhí)行。腳本內(nèi)容如下圖所示：

　　圖29、腳本內(nèi)容

　　執(zhí)行該腳本會從C&C服務(wù)器（hxxp://www.baidu2233.com）下載病毒文件，釋放到C:\Windows\Temp目錄中名為svchot.exe。svchot.exe是Downloader病毒會聯(lián)網(wǎng)（hxxp:// 115.231.8.27）下載病毒注入器svch.exe。svch.exe運行后，先會聯(lián)網(wǎng)（hxxp:// 121.12.125.238）下載盜號木馬，之后會啟動系統(tǒng)svchost，用盜號木馬的映像數(shù)據(jù)對svchost進程進行映像覆蓋。當盜號木馬檢測到游戲進程時，盜號木馬首先會結(jié)束檢測到的游戲進程，之后啟動其偽造游戲登錄界面，誘騙用戶輸入賬號密碼。

　　盜號木馬所檢測的進程名如下：

　　DNF.exe 、TenioDL.exe、TenSafe_1.exe、TASLogin.exe、

　　Client.exe、TPHelper.exe、Tencentdl.exe、TXPlatform.exe、

　　TclsQmFix.exe、TclsQmFix.exe

　　3.3后門病毒

　　通過該網(wǎng)站進行傳播的后門病毒涉及文件較多，文件相關(guān)性如下圖所示：

　　圖30、文件關(guān)系圖

　　1.IS.exe

　　該組病毒的直接釋放源為IS.exe，該程序由VMProtect加殼。通過火絨行為沙盒，我們可以看到病毒的釋放邏輯。如下圖所示：

　　圖31、IS.exe執(zhí)行的病毒行為

　　2.Intel.exe

　　Intel.exe是與Intel.sys相互配合進行劫持首頁的程序，Intel.sys所用到的關(guān)鍵數(shù)據(jù)都是由Intel.exe解密后通過調(diào)用FilterSendMessage函數(shù)進行發(fā)送的，如果沒有Intel.exe發(fā)送數(shù)據(jù)，則Intel.sys驅(qū)動不會起到任何功能。Intel.sys與Intel.exe通過Intel.txt進行通訊，Intel.exe會根據(jù)Intel.txt中的瀏覽器路徑啟動新的瀏覽器進程，并在啟動參數(shù)中加入劫持網(wǎng)址。Intel.exe主要功能代碼如下圖所示：

　　圖32、Intel.exe主要邏輯

　　關(guān)鍵數(shù)據(jù)全都是經(jīng)過算法加密的，解密邏輯我們選取了部分代碼進行舉例說明。大致邏輯為，先按照加密數(shù)據(jù)粒度調(diào)用decode函數(shù)進行解密，解密后再將需要轉(zhuǎn)為寬字符的字符串進行處理。如下圖所示：

　　圖33、部分解密邏輯

　　解密流程是利用生成的數(shù)據(jù)字典，按照數(shù)據(jù)塊粒度進行逐數(shù)據(jù)塊的解密。如下圖所示：

　　圖34、數(shù)據(jù)解密

　　Intel.exe除首頁劫持功能外還會下載packxx.exe在本地進行執(zhí)行，下載地址為hxxp://www.dresou.net/packxx.exe(xx代表數(shù)字1~3)。

　　3.Intel.sys

　　Intel.sys驅(qū)動中通過注冊mini文件過濾的方式對一些文件的操作進行了干擾，不但該驅(qū)動對與自己相關(guān)的病毒文件進行了保護，還對一些安全軟件的可執(zhí)行文件（QQPCTray.exe和SuperKiller.exe）進行限制。代碼如下圖所示：

　　圖35、文件過濾代碼

　　調(diào)用CmRegisterCallback函數(shù)添加注冊表回調(diào)保護Intel.exe和Intel.sys的相關(guān)注冊表鍵值。如下圖所示：

　　圖36、注冊表過濾

　　Intel.sys會檢測不同的Windows版本來調(diào)用PsSetCreateProcessNotifyRoutineEx或者PsSetCreateProcessNotifyRoutine注冊進程回調(diào)，禁止啟動一些瀏覽器進程，再通過通訊方式轉(zhuǎn)由Intel.exe加入劫持網(wǎng)址之后進行啟動。大部分瀏覽器都是在參數(shù)中直接加入劫持網(wǎng)址，對不能接受網(wǎng)址參數(shù)瀏覽器則直接啟動IE。如果是Intel.exe啟動的瀏覽器進程，在啟動進程不為pack.exe且進程啟動參數(shù)與自己劫持的網(wǎng)址不一樣時也會禁止進程啟動，設(shè)置全局事件對象后，由Intel.exe再次嘗試劫持。如下圖所示：

　　圖37、進程回調(diào)代碼

　　圖38、瀏覽器劫持相關(guān)代碼

　　調(diào)用PsSetLoadImageNotifyRoutine函數(shù)注冊映像加載回調(diào)，在回調(diào)函數(shù)中創(chuàng)建線程在映像加載過程中結(jié)束瀏覽器進程。如下圖所示：

　　圖39、結(jié)束進程相關(guān)代碼

　　4.Pack.exe

　　Pack.exe是一個后門病毒，可以用于進行多種DDOS攻擊。其首先會在Temp目錄中釋放兩個PE文件（spoolsv.exe和iexplore.exe），并將自身復制為Temp目錄中的svchost.exe。之后啟動spoolsv.exe，再由該進程啟動其自身的復制體Temp目錄下的svchost.exe執(zhí)行后門邏輯。如下圖所示：

　　圖40、釋放PE文件

　　釋放文件結(jié)束后便會開始執(zhí)行其后門功能，該病毒與C&C服務(wù)器的通訊數(shù)據(jù)是以“|”進行分割，以“end”結(jié)尾的字符串。第一次通訊根據(jù)傳來字符串數(shù)據(jù)的長度分別執(zhí)行五種不同的操作：

　　1)獲取主機信息，信息包括語言、系統(tǒng)版本、CPU主頻、物理內(nèi)存大小和網(wǎng)絡(luò)傳輸速度。

　　2)接受服務(wù)器發(fā)來的攻擊數(shù)據(jù)，包含攻擊地址、攻擊類型、攻擊次數(shù)及組成DDOS攻擊網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)數(shù)據(jù)。

　　3)返回主機狀態(tài)，如占用或閑置。

　　4)重置主機攻擊狀態(tài)，主要用于停止攻擊。

　　5)開始發(fā)起攻擊。

　　如下圖所示：

　　圖41、控制代碼

　　該后門病毒可以實現(xiàn)的DDOS攻擊類型共有七種，包括SYN Flood、Connect Flood、UDP Flood 、ICMP Flood、TCP Flood、DNS Flood及HTTP Flood。如下圖所示：

　　圖42、攻擊代碼

　　除了DDOS攻擊外，該后門病毒還可以運行主機的本地文件或者從遠程服務(wù)器中下載并執(zhí)行可執(zhí)行文件。如下圖所示：

　　圖43、后門病毒代碼

　　在后門病毒需要更新時，可以通過運行其釋放在Temp目錄中的iexplore.exe清理Temp目錄并清除網(wǎng)絡(luò)緩存。

　　5.病毒釋放的iexplore.exe

　　該程序主要用于清理Temp目錄和清除網(wǎng)絡(luò)緩存。其主要會運行兩條cmd命令：

　　rmdir /s/q "C:\Users\test\AppData\Local\Temp\"

　　rmdir /s/q "C:\Users\test\AppData\Local\Microsoft\Windows\INetCookies"

　　6.病毒釋放的spoolsv.exe

　　該程序只負責啟動Temp目錄中的svchost.exe。如下圖所示：

　　圖44、spoolsv.exe主要功能

　　四、附錄

　　下載報告鏈接：http://down4.huorong.cn/doc/gamepatch.pdf