信息來(lái)源：FreeBuf

1. 背景

“綠色軟件”通常指的是那些無(wú)需安裝即可使用的小軟件，這些小軟件運(yùn)行后通?？梢灾苯邮褂?，且使用后不會(huì)在注冊(cè)表、系統(tǒng)目錄等殘留任何鍵值和文件，甚至可以直接將其放到U盤(pán)、光盤(pán)等移動(dòng)介質(zhì)中，隨時(shí)隨地使用。   
同時(shí)由于其免安裝、解壓即可使用，也會(huì)給人予安全的感覺(jué)，因此深受廣大網(wǎng)友的喜愛(ài)。然而這些“綠色軟件”真的都安全嗎？

2. 木馬簡(jiǎn)介

近期騰訊反病毒實(shí)驗(yàn)室捕獲到多個(gè)帶有木馬的“綠色軟件”壓縮包，此類(lèi)綠色軟件通常為小工具類(lèi)，通過(guò)中小下載站傳播，這些標(biāo)榜“綠色軟件”的壓縮包程序中含有木馬。此外，這些工具還被大量上傳到網(wǎng)盤(pán)、論壇、社交群里，傳播量較大。木馬運(yùn)行后不僅會(huì)篡改多種瀏覽器的主頁(yè)，還會(huì)下載大量推廣程序、木馬到本地執(zhí)行，對(duì)用戶(hù)計(jì)算機(jī)安全造成嚴(yán)重的威脅。

   

圖1. 解壓后的“綠色軟件”目錄

該木馬主要存在于各種“綠色軟件”包中，直接替換原本的主程序，將原本的主程序重新命名為mail.dll，木馬啟動(dòng)后會(huì)查找同目錄下的mail.dll文件，并將其運(yùn)行起來(lái)，從而讓用戶(hù)完全無(wú)法察覺(jué)。隨后木馬便會(huì)不斷篡改主頁(yè)、下載推廣軟件、關(guān)閉防火墻、關(guān)閉系統(tǒng)聲音、后臺(tái)刷流量等。

3. 木馬詳細(xì)分析

該木馬使用VB語(yǔ)言編寫(xiě)，由于VB語(yǔ)言在編譯程序時(shí)是將程序編譯成中間語(yǔ)言，而非二進(jìn)制代碼，因此具有天然的免殺功效，目前VirusTotal上僅有不到三分之一的安全軟件能夠識(shí)別該木馬。

通過(guò)VB反編譯軟件對(duì)該樣本進(jìn)行反編譯后可以發(fā)現(xiàn)，除了主函數(shù)外，還有一個(gè)窗體中含有多個(gè)事件，包括三個(gè)計(jì)時(shí)器事件，以及窗體的加載和卸載事件等，此外，通過(guò)代碼結(jié)構(gòu)可發(fā)現(xiàn)，該樣本中嵌入了一款名為VB多標(biāo)簽頁(yè)面web瀏覽器的控件，該控件主要用于訪(fǎng)問(wèn)指定導(dǎo)航頁(yè)面，刷流量。

   

圖2. 反編譯代碼總體結(jié)構(gòu)圖及與開(kāi)源的一個(gè)vb控件對(duì)比

木馬運(yùn)行后在主函數(shù)中會(huì)先關(guān)閉系統(tǒng)自帶的防火墻，隨后立即運(yùn)行同目錄下的main.dll文件，經(jīng)分析該軟件真正的主體文件。此外，可能是為了逃避分析和特征查殺，該木馬程序中的所有字符串均拆分成小片段后再拼接。

   

圖3. 木馬主函數(shù)相關(guān)代碼

main.dll實(shí)為軟件主程序，將其擴(kuò)展名改為exe后，可見(jiàn)其真實(shí)圖標(biāo)，木馬只是以貍貓換太子之術(shù)將主程序“掉包”，運(yùn)行主程序后主程序完成軟件真實(shí)功能，木馬則在后臺(tái)偷偷運(yùn)行。

   

圖4.將main.dll擴(kuò)展名改為exe后， 可見(jiàn)其真實(shí)圖標(biāo)

在主窗體的加載函數(shù)中，木馬初始化部分配置信息，主要是訪(fǎng)問(wèn)以下4個(gè)URL鏈接獲取相關(guān)配置信息，以及發(fā)送統(tǒng)計(jì)信息、使用內(nèi)置web瀏覽器刷流量。

www.dongzhiri.com/t/0.asp（主頁(yè)配置）、

www.dongzhiri.com/t/1.htm（統(tǒng)計(jì)）、

g.msnunion.com/exi/h.asp（第三方瀏覽器主頁(yè)配置）、

g.msnunion.com/exi/wj.htm（跳轉(zhuǎn)到導(dǎo)航頁(yè)http://www8.1616.net/?un7783）刷流量

隨后啟動(dòng)計(jì)時(shí)器1和計(jì)時(shí)器2，由計(jì)時(shí)器2完成木馬的主要功能。

   

圖5. 木馬主窗體的加載函數(shù)相關(guān)代碼

計(jì)時(shí)器1主要實(shí)現(xiàn)的功能是：不斷查詢(xún)系統(tǒng)的進(jìn)程列表，以判斷main.dll進(jìn)程是否存在，如果不存在，說(shuō)明用戶(hù)已經(jīng)關(guān)閉該軟件，此時(shí)木馬便調(diào)用窗體卸載函數(shù)準(zhǔn)備退出程序，以免被發(fā)現(xiàn)異常。

   

圖6. 計(jì)時(shí)器1主要功能函數(shù)相關(guān)代碼

計(jì)時(shí)器2負(fù)責(zé)完成木馬的主要惡意行為，首先會(huì)根據(jù)初始化的配置信息，修改多種瀏覽器的主頁(yè)，目前，該木馬配置的主頁(yè)為：http://www8.1616.net/?un5794end

   

圖7. 修改ie瀏覽器主頁(yè)

   

圖8.通過(guò)修改注冊(cè)表實(shí)現(xiàn)主頁(yè)修改

   

圖9. 目前該木馬配置的主頁(yè)，是一個(gè)導(dǎo)航網(wǎng)站

   

圖10. 修改第三方瀏覽器主頁(yè)

隨后木馬會(huì)下載配置文件http://www.dongzhiri.com/t/j.txt到本地解密，該配置文件存儲(chǔ)的主要是要推廣的軟件列表，根據(jù)電腦關(guān)鍵監(jiān)測(cè)，該配置文件約1分鐘變動(dòng)一次，每次推廣的文件都不一樣?？梢?jiàn)該木馬還在持續(xù)活躍中。

   

圖11. 下載推廣列表配置文件

   

圖12.推廣列表解密函數(shù)

   

圖13. 加密的推廣列表，該列表每隔數(shù)分鐘變化一次，推廣不同的程序

   

圖14. 下載安裝推廣的軟件

該木馬推廣的程序列表以分鐘級(jí)更新，以下是該木馬推廣的部分軟件，可見(jiàn)大部分為游戲程序，此外還有發(fā)現(xiàn)該木馬推廣其它木馬程序。

   

圖15. 木馬推廣的部分軟件列表

4. 傳播渠道

此木馬通過(guò)標(biāo)榜“綠色軟件”，打包到各種小軟件工具包中，并上傳到大量中小下載站，經(jīng)不完全統(tǒng)計(jì)，目前在網(wǎng)絡(luò)上的打包有該木馬的“綠色軟件”包總數(shù)量在1000個(gè)以上，涉及到各種常用小工具。以下為部分被打包了木馬“綠色軟件”列表。

   

圖16. 部分被打包了木馬的“綠色軟件”

   

圖17. 傳播渠道

   

圖18. 傳播渠道

   

圖19. 傳播渠道

5. 結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)的普及和發(fā)展，網(wǎng)絡(luò)黑色產(chǎn)業(yè)也越來(lái)越深入互聯(lián)網(wǎng)的每一個(gè)角落，曾經(jīng)干凈的、安全的、無(wú)私共享的網(wǎng)絡(luò)資源如今已經(jīng)逐漸絕跡。就像前段時(shí)間騰訊反病毒實(shí)驗(yàn)室曝光的附加在ghost鏡像中的“蘇拉克”木馬一樣，網(wǎng)絡(luò)上未被黑產(chǎn)染指的空間越來(lái)越小。如今網(wǎng)絡(luò)上的共享免費(fèi)的資源，已經(jīng)少有安全的了。

在此管家建議廣大用戶(hù)，無(wú)論是大軟件還是小工具或者操作系統(tǒng)，盡量從官網(wǎng)下載，或者使用安全軟件的軟件管理進(jìn)行下載和安裝，盡量不要從無(wú)法確定安全性的中小網(wǎng)站下載資源。

* 作者：騰訊電腦管家（企業(yè)賬號(hào)），轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）