资讯
主页 > 技术文章> 正文

Dementia后门分析

发表时间:2017-01-05

0x00 概述

近日腾讯电脑管家截获到一款远程控制木马,该木马利用加黑方式绕过部分杀软的安装拦截,并且未在注册表中留下启动痕迹从而避开部分杀软对启动项检测。木马持有者监控游戏中的世界喊话频道,并假借装备代购、物品交易的幌子,用极低的价格吸引游戏用户,价格表发票等为由向用户发送后门文件每天都有上千个新用户影响。用户一旦中招,不仅网游密码可能会被立刻窃取,而且其宽带账号密码同样面对失窃风险开启腾讯电脑管家,可实时防御该类木马文件

0x01 详细分析

1、 后门木马在整个安装阶段共使用了7个文件

 

启动文件xxx.bmp.lnk主要是诱骗用户点击安装,它并不是一个图片文件,而是一个快捷方式,实际指向的是被利用的白文件jpg.exe

 

jpg.exe启动会有两个系统文件完成,分别是rundll32.exe以及url.dlljpg.exeB*S*蓝牙驱动的主程序,文件会读取当前目录下的setup.ini文件,并以CmdLine字段指向的文件名启动进程,并未对CmdLine所指向文件合法性进行验证,导致被木马利用。这里,木马在CmdLine中写入的是g**gle.com文件

 

g**gle.com文件中,为了不引起太多怀疑,还是显示一张图片,这张图的一般都和接收的压缩包名字吻合,比如接到游戏装备的价格图

 

 

图片展示后,释放3个重要文件到%ProgramData%\Microsoft dementia中,并设置隐藏属性

 

SynTPHelperes.exe是g**gle.com备份,config.dat文件打开后没看到熟悉的关键字,不过能看出来PE文件的框架,XOR解密后MZ修复即可得到一个完整DLL

 

config.dat负责转发控制命令、阻止数据并传递到控制端,在这个模块里会反连木马控制端,通过注册表判断本机是否已经被感染在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\axxxx中记录木马安装时间,以及上线分组

 

A191****40就是解密出来的微博账号,是木马持有者微博,访问该微博地址获取签名,用签名解密出来木马反连IP地址。

 

木马中存放着一张字符散列表,通过作者的签名得到对应的IP,所以只要更换微博签名,即可更换木马的上线IP。

 

通过这张表以及微博账号解密出木马的上线地址14.113.134.141木马的上线端口被加密存在PE文件中,不过加密算法是简单XOR,解密后得到端口为7245,以及木马的版本号,得知远控的名字叫dementia版本为2.3。

 

连接到控制端后,接收到的第一个命令即为“ Dllfile”意思是接收到控制端传来的DLL,文件名Plugin32.txt,这个DLLconfig.dat加密方式相同,是木马功能模块。

 

2、 木马核心流程如下

 

木马为了能够长期控制机器,首次安装一定会设置启动项,但是该木马的启动项信息并不存在于注册表而是作为print processor加载。木马首先会把winprint.temp拷贝到%WINDIR%\System32\spool\prtprocs\新建文件夹\winprint.dll windows启动后,打印机服务程序加载目录下的dll该dll功能简单,仅仅启动SynTPHelperes.exe

 

不过,释放winprint.dll后,并不能保证机器重启时就能加载,一部分用户并不需要打印机服务,所以木马每分钟会把spooler服务设置为自动启动,已知该木马如下功能。

 

木马的键盘记录文件会生成在%COMMON_APPDATA%\DiamondKeylog.txt中,可以截获到用户的网购、网银密码同时会直接读取pbk窃取ADSL宽带账号密码。为了保证获取更多的密码,木马会禁止控者使用软键盘。

 

0x02 传播分析

1、 微博追溯

木马留在PE微博入手发现这些微博的签名有一个共同特征,都以open(******)形式出现,所以此类微博进行搜索,找到传播团队使用40个上线IP

 

抓取签名,解密后得到木马部分上线IP列表。

 

通过微博账号,解析出一批QQ列表,是木马持有者,本文选择三个成员追踪

2、 QQ溯源

1414****23已经被举报,414****23.com域名的注册邮箱80****130@qq.com可以确定是此人QQ,因多次盗取游戏装备,投放木马被举报。

 

顺着这条线索继续找到了309****64这个号码,发现这个号码在2010年已经开始在游戏中传播病毒和木马

 

并且这个人近期注册了asd309****64.com域名

 

根据社工库找到手机号,得到其两个支付宝账号:

 

*学对应的qq则是807****30,根据其同学群可得知此人真名广东湛江人。

此人一同被举报的,还有一个qq

 

根据举报信息里提供的交易群,这里是以装备交易、收售金币的群,不乏有浑水摸鱼的骗子

 

2)对282****35搜索,这个QQ注册了域名cao****.com

 

QQ由于在游戏中欺骗游戏用户,发送木马,也已经被多处举报

 

从其发布的微博及互相关注的人可以判定该成员广东湛江,基本可以确定他的微博资料应该都是正确的,而在某游戏论坛又发现这个人公布手机号

 

该号码也同样是广东湛江地区木马的上线地址,手机号归属地,以及微博资料基本吻合。详细资料:

姓名:刘*

QQ282****35 

手机133*****329,151****5235

出生地广东湛江 

生日19830903

3153****781搜索,该qq邮箱注册了域名

 

而通过手机也得到他的支付宝且已实名。

  

支付宝显示*,域名注册人huang * yu就确定该成员的真实名字

目前发现该木马紧盯游戏玩家监控游戏中的喇叭喊话,使用喇叭游戏玩家会收到木马的私聊信息要求加好友,通常通过YY等聊天工具传播木马也会直接在游戏公会频道中群发

 

 

资讯排行