欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

无线宝宝wifi热点共享软件刷流量行为分析

来源:本站整理 作者:佚名 时间:2016-10-15 TAG: 我要投稿

近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。该恶意程序的主要功能是后台定向的流量推广等操作,目前腾讯电脑管家已全面拦截和查杀。
0×01 木马样本简介
如果你电脑上存在C:\ProgramData\AppData\*app\(Win7)、C:\Documents andSettings\All Users\Application Data\AppData\*app\ (XP)目录,那很可能你已经中招了。

感染表现
木马文件wifiinit.dll是南宁某科技有限责任公司的wifi热点共享软件——WifiBaby,安装后释放的dll文件。其在安装后注册为系统服务,主要功能为从服务端获取需要执行的任务,下载恶意程序到本地并执行。其下载的恶意程序通常重命名为系统exe,解析传入的参数执行特定的行为。截止到编写该文档,分析到的大部分行为为后台刷流量。

木马功能大致流程
0×02 详细分析
1. Wifiinit.dll行为分析
Wifibaby安装完成后,在其安装目录下会生成Wifiinit.dll,该dll被注册为系统服务随系统开启自启动,并与驱动程序wifinat.sys绑定。
其导出函数大部分为服务安装与卸载功能以及服务功能函数。

当服务异常的情况下,驱动wifinat.sys会调用其中RundllInstall来完成对驱动、服务的重新安装。

经过分析,定位到服务中恶意行为部分主要外层代码如下:

当服务启动后,首先判断是否有windbg、ida、OllDbg、Wireshark、Sniffer等进程存在,若有,则不触发恶意行为。Anti_debug内容如下:

若未发现调试工具,则尝试与服务器获取联系,获得服务器返回后的Taskid结构体后。程序会在GetTask函数里另起一个进程来处理获取到的Taskid:

在该线程中,首先按程序自身的协议构造包含有任务派发url:Dispatch.se.17wangwang.com的结构体,而后以udp形式与服务器进行通信,所有流量均经过解密处理。

在udp在经过通信协商,并获取到Taskid后,程序首先删除现有AppData/{Taskid}app/目录下的文件,此后再遍历并删除该目录下所有文件:

而后,程序将首先判断AppData目录下是否存在app.cfg,app.cfg是一个sqlite数据库,其以taskid为主键,data字段中存放对应taskid执行所需的加密后的exe文件数据。如下图:

若app.cfg文件不存在,则执行create table新建一个数据sqlite数据库文件:

若存在app.cfg文件,则先搜索数据库,判断对应taskid所需的exe是否存在:

若id存在,则直接读取数据库中data字段,生成一个以Taskid命名的raw文件,如图1中“79”文件。
倘若该id不存在,则再次解析服务端返回的数据,提取其中下载url和执行exe所需的参数以及exe解密所需的密钥。
提取到url后,执行下载:

下载成功后,程序还将对下载的文件进行校验,判断其大小及md5是否符合。验证通过后再将下载的数据写回到app.cfg:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载