信息來源：FreeBuf

1. 背景

“綠色軟件”通常指的是那些無需安裝即可使用的小軟件，這些小軟件運(yùn)行后通常可以直接使用，且使用后不會(huì)在注冊(cè)表、系統(tǒng)目錄等殘留任何鍵值和文件，甚至可以直接將其放到U盤、光盤等移動(dòng)介質(zhì)中，隨時(shí)隨地使用。   
同時(shí)由于其免安裝、解壓即可使用，也會(huì)給人予安全的感覺，因此深受廣大網(wǎng)友的喜愛。然而這些“綠色軟件”真的都安全嗎？

2. 木馬簡介

近期騰訊反病毒實(shí)驗(yàn)室捕獲到多個(gè)帶有木馬的“綠色軟件”壓縮包，此類綠色軟件通常為小工具類，通過中小下載站傳播，這些標(biāo)榜“綠色軟件”的壓縮包程序中含有木馬。此外，這些工具還被大量上傳到網(wǎng)盤、論壇、社交群里，傳播量較大。木馬運(yùn)行后不僅會(huì)篡改多種瀏覽器的主頁，還會(huì)下載大量推廣程序、木馬到本地執(zhí)行，對(duì)用戶計(jì)算機(jī)安全造成嚴(yán)重的威脅。

   

圖1. 解壓后的“綠色軟件”目錄

該木馬主要存在于各種“綠色軟件”包中，直接替換原本的主程序，將原本的主程序重新命名為mail.dll，木馬啟動(dòng)后會(huì)查找同目錄下的mail.dll文件，并將其運(yùn)行起來，從而讓用戶完全無法察覺。隨后木馬便會(huì)不斷篡改主頁、下載推廣軟件、關(guān)閉防火墻、關(guān)閉系統(tǒng)聲音、后臺(tái)刷流量等。

3. 木馬詳細(xì)分析

該木馬使用VB語言編寫，由于VB語言在編譯程序時(shí)是將程序編譯成中間語言，而非二進(jìn)制代碼，因此具有天然的免殺功效，目前VirusTotal上僅有不到三分之一的安全軟件能夠識(shí)別該木馬。

通過VB反編譯軟件對(duì)該樣本進(jìn)行反編譯后可以發(fā)現(xiàn)，除了主函數(shù)外，還有一個(gè)窗體中含有多個(gè)事件，包括三個(gè)計(jì)時(shí)器事件，以及窗體的加載和卸載事件等，此外，通過代碼結(jié)構(gòu)可發(fā)現(xiàn)，該樣本中嵌入了一款名為VB多標(biāo)簽頁面web瀏覽器的控件，該控件主要用于訪問指定導(dǎo)航頁面，刷流量。

   

圖2. 反編譯代碼總體結(jié)構(gòu)圖及與開源的一個(gè)vb控件對(duì)比

木馬運(yùn)行后在主函數(shù)中會(huì)先關(guān)閉系統(tǒng)自帶的防火墻，隨后立即運(yùn)行同目錄下的main.dll文件，經(jīng)分析該軟件真正的主體文件。此外，可能是為了逃避分析和特征查殺，該木馬程序中的所有字符串均拆分成小片段后再拼接。

   

圖3. 木馬主函數(shù)相關(guān)代碼

main.dll實(shí)為軟件主程序，將其擴(kuò)展名改為exe后，可見其真實(shí)圖標(biāo)，木馬只是以貍貓換太子之術(shù)將主程序“掉包”，運(yùn)行主程序后主程序完成軟件真實(shí)功能，木馬則在后臺(tái)偷偷運(yùn)行。

   

圖4.將main.dll擴(kuò)展名改為exe后， 可見其真實(shí)圖標(biāo)

在主窗體的加載函數(shù)中，木馬初始化部分配置信息，主要是訪問以下4個(gè)URL鏈接獲取相關(guān)配置信息，以及發(fā)送統(tǒng)計(jì)信息、使用內(nèi)置web瀏覽器刷流量。

www.dongzhiri.com/t/0.asp（主頁配置）、

www.dongzhiri.com/t/1.htm（統(tǒng)計(jì)）、

g.msnunion.com/exi/h.asp（第三方瀏覽器主頁配置）、

g.msnunion.com/exi/wj.htm（跳轉(zhuǎn)到導(dǎo)航頁http://www8.1616.net/?un7783）刷流量

隨后啟動(dòng)計(jì)時(shí)器1和計(jì)時(shí)器2，由計(jì)時(shí)器2完成木馬的主要功能。

   

圖5. 木馬主窗體的加載函數(shù)相關(guān)代碼

計(jì)時(shí)器1主要實(shí)現(xiàn)的功能是：不斷查詢系統(tǒng)的進(jìn)程列表，以判斷main.dll進(jìn)程是否存在，如果不存在，說明用戶已經(jīng)關(guān)閉該軟件，此時(shí)木馬便調(diào)用窗體卸載函數(shù)準(zhǔn)備退出程序，以免被發(fā)現(xiàn)異常。

   

圖6. 計(jì)時(shí)器1主要功能函數(shù)相關(guān)代碼

計(jì)時(shí)器2負(fù)責(zé)完成木馬的主要惡意行為，首先會(huì)根據(jù)初始化的配置信息，修改多種瀏覽器的主頁，目前，該木馬配置的主頁為：http://www8.1616.net/?un5794end

   

圖7. 修改ie瀏覽器主頁

   

圖8.通過修改注冊(cè)表實(shí)現(xiàn)主頁修改

   

圖9. 目前該木馬配置的主頁，是一個(gè)導(dǎo)航網(wǎng)站

   

圖10. 修改第三方瀏覽器主頁

隨后木馬會(huì)下載配置文件http://www.dongzhiri.com/t/j.txt到本地解密，該配置文件存儲(chǔ)的主要是要推廣的軟件列表，根據(jù)電腦關(guān)鍵監(jiān)測，該配置文件約1分鐘變動(dòng)一次，每次推廣的文件都不一樣。可見該木馬還在持續(xù)活躍中。

   

圖11. 下載推廣列表配置文件

   

圖12.推廣列表解密函數(shù)

   

圖13. 加密的推廣列表，該列表每隔數(shù)分鐘變化一次，推廣不同的程序

   

圖14. 下載安裝推廣的軟件

該木馬推廣的程序列表以分鐘級(jí)更新，以下是該木馬推廣的部分軟件，可見大部分為游戲程序，此外還有發(fā)現(xiàn)該木馬推廣其它木馬程序。

   

圖15. 木馬推廣的部分軟件列表

4. 傳播渠道

此木馬通過標(biāo)榜“綠色軟件”，打包到各種小軟件工具包中，并上傳到大量中小下載站，經(jīng)不完全統(tǒng)計(jì)，目前在網(wǎng)絡(luò)上的打包有該木馬的“綠色軟件”包總數(shù)量在1000個(gè)以上，涉及到各種常用小工具。以下為部分被打包了木馬“綠色軟件”列表。

   

圖16. 部分被打包了木馬的“綠色軟件”

   

圖17. 傳播渠道

   

圖18. 傳播渠道

   

圖19. 傳播渠道

5. 結(jié)語

隨著互聯(lián)網(wǎng)的普及和發(fā)展，網(wǎng)絡(luò)黑色產(chǎn)業(yè)也越來越深入互聯(lián)網(wǎng)的每一個(gè)角落，曾經(jīng)干凈的、安全的、無私共享的網(wǎng)絡(luò)資源如今已經(jīng)逐漸絕跡。就像前段時(shí)間騰訊反病毒實(shí)驗(yàn)室曝光的附加在ghost鏡像中的“蘇拉克”木馬一樣，網(wǎng)絡(luò)上未被黑產(chǎn)染指的空間越來越小。如今網(wǎng)絡(luò)上的共享免費(fèi)的資源，已經(jīng)少有安全的了。

在此管家建議廣大用戶，無論是大軟件還是小工具或者操作系統(tǒng)，盡量從官網(wǎng)下載，或者使用安全軟件的軟件管理進(jìn)行下載和安裝，盡量不要從無法確定安全性的中小網(wǎng)站下載資源。

* 作者：騰訊電腦管家（企業(yè)賬號(hào)），轉(zhuǎn)載請(qǐng)注明來自FreeBuf黑客與極客（FreeBuf.COM）