上班一族注意了!何谓人在公司坐,锅从天上来?近日,360安全大脑监测发现一款伪装成办公软件的木马程序,该木马不仅伪装成“单据打印系统”这类常用办公软件,竟然还拥有合法有效的软件数字签名,企图冒充“良民身份”入侵电脑,并躲避安全软件的查杀。
一旦成功蒙混过关,该木马便会在电脑中潜伏工作,包括键盘记录,屏幕控制,语音监听,文件管理等等功能,不管是办公电脑还是家庭电脑,都危害无穷!不过广大用户无需担心,目前360安全大脑已经国内首家支持对该木马的查杀。
冒充“良民”躲避查杀
两幅面孔伺机切换
说起这款木马的狡诈之处,除了“冒充良民”,还有一点就是“伺机作恶”。这款“单据打印系统”软件不会一上来就执行恶意程序,而是首先检测你的电脑云控地址是否开启,如果没有开启那么软件将会运行无害的流程,一副“绿色软件”正常工作的样子。
但是,一旦发现你电脑云端开启工作指示,那么该软件就会运行潜伏工作,从云端下发和释放恶意文件,对用户电脑进行安装布置,直至完全控制用户电脑,例如消息弹窗,键盘记录,屏幕控制,语音监听、视频查看等等功能。
此地无银三百两
360安全专家对恶意软件进一步溯源分析,发现该软件公司的营业执照,确认此公司确实存在。
签名公司的营业执照
木马控制端
工作流程
木马工作流程
详细分析
云控未开启的运行状态
木马程序检测到云端开启工作流程后下载DLL模块并在内存加载执行的代码如下。
云控开启后的木马流程
在野木马程序
左边:企图认证的程序 右边: 恶意程序
从在野木马云控地址(hxxp://www.ohmytatoo.com/dll.jpg)下载的文件,主要功能是在C盘根目录下创建一个Microsoftxxxxx的目录(目录后5位是随机字符),并将加密恶意模块写入到该目录下的文件“bugrpt.log”,同时再释放一些辅助模块,文档结构如下图所示。
木马释放的文件
其中“schedule.exe”是被木马利用的”窗口隐藏工具”,可以通过更改同目录下的配置文件让该程序来完成添加自启动项的任务。
白利用设置自启动
接着木马程序会通过命令行调用”temp.exe”(实为WinRAR解压程序)对 “temp.txt”文件进行解压,解压密码为”123”。此步骤释放出来的两个重要文件是一组典型的白利用,用于躲避安全软件的查杀,其中白文件是腾讯的漏洞扫描程序,被重命名为“schedule.exe”用以替换刚刚添加自启动项的”窗口隐藏工具”,而黑文件则命名成“qmipc.dll”以便在系统自启白文件“schedule.exe”时自动被加载。
进程链
“qmipc.dll”模块的主要任务是对加密恶意模块bugrpt.log进行解密和内存加载,并启动名为“Torchwood”的导出函数。解密的恶意模块即为Torchwood远控的核心程序。
PELoader模块
进一步对该后门程序进行分析,得到木马远控的上线地址为120.24.231.105:7363。
木马上线地址
木马控制端
安全建议
360安全大脑通过多种技术手段防御和发现最新木马病毒,并国内首家实现对该类木马的查杀,对于办公及家庭电脑,360安全大脑建议:
1、建议广大用户前往weishi.360.cn,及时下载安装360安全卫士,保护个人信息及财产安全;
2、使用360软件管家下载软件。360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全;
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!