欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

神话传奇:一款通过卖号在微信群传播的远控木马

来源:本站整理 作者:佚名 时间:2018-05-02 TAG: 我要投稿

近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。
认识卖号人
在分析远控木马之前,我们先来认识一下这批远控木马的目标人群——卖号人。卖号分为很多种,本文主要指的是倒卖微信号,更具体的应该是卖“微信62数据”。这里简单认识一下“微信62数据”,这个数据是微信用户登录新设备后生成的加密数据,通过导入该数据到新设备中,可以跳过新设备登录验证的步骤直接登录账号,这一串数据是以数字“62”开头,被卖号人习惯性的称为“62数据”。如下是一条卖号人提供的微信号数据,格式为“账号—密码—62数据—最后登录时间”。

图1
众所周知,微信是个天然营销的平台,围绕在微信圈里的产业链更是举不胜举,自然就有人搞起了微信号的买卖交易。而对于账号交易至关重要的62数据,本身使用起来颇为麻烦(需要辅助工具),所以免不了有人要做一些科普性工作,网上随便找一下62数据相关。

图2
看上去营销工作做得还可以,于是加扣扣打探一下行情,发现的确是一条产业链。

图3
打开所谓的平台,其实是在卓郎上注册的一个“自动发卡”商户,上面提供多种不同品质需求的微信62数据账号。

图4
后来发现,不少卖号的代理人有自己各自的渠道,如下为另一自动批发商户:

图5
这些卖号的代理人平时还会通过微信群来进行交流。我们尝试联系某个卖号的代理人,经过沟通后发现有人专门负责在微信群里散播诱导性的远控木马程序。

图6
有意思的是,卖号代理人一般都会使用微信电脑版来工作,正常情况下群里的木马文件自动接收后会被360识别为木马并隔离查杀,只有用户主动去找回并运行木马程序才会中招。

图7
经了解,进这个群需要交50块RMB,有一定的门槛,目前该群已满500人,其中却有不少“混进去”的小号在散播该木马。

图8
远控木马分析
下面以上文提及的微信群内散播的最新样本“国内老号500个62数据.exe”为例进行分析。传播者试图以“国内老号500个62数据”之类的文件名诱导卖号人下载运行木马释放体,传播中的木马文件名和程序图标都比较有欺骗性。该木马的主要运行流程如下图所示:

图9
(一)、木马释放体
木马释放体运行后主要的功能代码都在窗口Form1的活动过程函数TForm1:FormActivate里,启动后先从资源里释放一个加密的zip压缩包,保存到D盘根目录命名为:“如遇登录器打不开.txt”。该压缩包里存放了首次感染用户需要用到的所有文件,被解压到用户的图片目录(该目录将作为木马的安装目录),解压密码为“2017”。如果安装目录里事先已存在恶意程序“KGGouWo.exe”(酷狗躺枪。。。),说明不是首次运行,就直接打开一个已存在的文本文件“成功数据(127).txt”。

图 10
这里顺便提下,由于木马判断了“D:\\如遇到登录器打不开.txt”这个压缩文件是否存在,所以在没有D盘的系统,木马文件会释放失败,无法继续后续行为。

图11
看一下压缩文件解压到安装目录后文件列表。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载