Hacking Team漏洞大范围挂马,上百万电脑中招

一、概况

近日,腾讯反病毒实验室拦截到一个恶意推广木马大范围传播,总传播量上百万,经分析和排查发现该木马具有以下特征:

1)该木马是通过网页挂马的方式传播的,经分析黑客用来挂马的漏洞是前段时间Hacking Team事件爆出的flash漏洞CVE-2015-5122。新版本的Flash Player已经修复了该漏洞,但是国内仍有大量的电脑未进行更新,给该木马的传播创造了条件。

2)经分析和追踪,发现挂马的主体是一个广告flash,大量存在于博彩类网站、色情类网站、外{过}{滤}挂私-Fu类网站、中小型下载站等,以及部分流氓软件的弹窗中,影响广泛。

3)挂马的漏洞影响Windows、MacOSX和Linux平台上的IE、Chrome浏览器等主流浏览器。经测试,在未打补丁电脑上均可触发挂马行为,国内主流浏览器均未能对其进行有效拦截和提醒。

4)木马更新变种速度快,平均2-3小时更换一个新变种,以此逃避安全软件的检测,同时可降低单个文件的广度,逃过安全软件的广度监控。

5)该木马主要功能是静默安装多款流氓软件,部分被安装的流氓软件具有向安卓手机静默安装应用的功能,危害严重。同时该木马还玩起“黑吃黑”——能够清除已在本机安装的常见的其它流氓软件,达到独占电脑的目的。 

 

图1. Flash 漏洞挂马示意图

二、挂马网站分析

经分析和追踪,发现挂马的主体是一个广告flash,当访问到挂马网站时,该flash文件会被自动下载并播放,从而触发漏洞导致感染木马。如图2所示。 

 

图2. 被挂马的网站之一

图3所示为带木马的Flash文件,有趣的是如果当前电脑flash已经打补丁,则显示正常的广告,如果flash未打相应补丁则会触发漏洞,在浏览器进程内执行ShellCode。 

[[152480]] 

图3. 挂马的flash文件

通过反编译flash文件可以发现,该flash是在Hacking Team泄漏代码的基础上修改而来的,该flash使用doswf做了加密和混淆,以增加安全人员分析难度。如图4所示为挂马flash代码。 

 

图4. 挂马的flash文件反编译代码

漏洞触发后,直接在浏览器进程中执行ShellCode代码,该ShellCode的功能是下载hxxp://222.186.10.210:8861/calc.exe到本地,存放到浏览器当前目录下,文件名为explorer.exe并执行。 

 

图5. ShellCode经混淆加密,其主要功能是下载执行

Explorer.exe为了逃避杀软的查杀,其更新速度非常块,平均2-3小时更新变种一次,其变种除了修改代码以逃避特征外,其图标也经常变动,以下是收集到的explorer.exe文件的部分图标,可以发现主要是使用一些知名软件的图标进行伪装。 

 

图6. 木马使用的伪装图标列表

该木马传播量巨大,为了防止样本广度过高被安全厂商发现,变种速度飞快,该木马10月中旬开始传播,截至目前总传播量上万的变种MD5统计如下: 

 

图7. 截至目前总传播量上万的变种MD5列表#p#

三、木马行为分析

木马运行后会通过检测判断是否存在c:\okokkk.txt文件,如果存在则表示已经感染过不再感染,木马退出,如果不存在则创建该文件,然后创建两个线程,分别用于安装推广流氓软件和清理非自己推广的流氓软件等。

 

 

图8. 通过判断“C:\okokkk.txt”文件来防止重复感染

“黑吃黑”是此木马的一大特色,木马运行后专门创建了一个线程,用于检测和删除其它软件的桌面快捷方式、开始菜单项中的目录等,删除的项目大部分为流氓软件,其内置的列表堪称流氓软件大全,涵盖大量的流氓软件,以下只是列表的一部分。

 

 

图9. 部分被删除的桌面快捷方式

 

 

图10. 木马要删除的部分菜单项列表

循环结束指定进程,包括taskmgr(任务管理器)、QQPCDownload(管家在线安装)等多款软件的安装程序。

 

 

图11. 循环结束指定进程

向统计页面发送信息,统计安装量,随后下载并静默安装以下软件(共11款),其中hbsetup64.exe是一款流氓软件,能够静默向连接电脑的安卓手机安装手机应用,危害严重。

 

 

图 12.该木马静默推广的软件列表及安装统计地址

四、后记

被称作“黑客核武库”的Hacking Team泄漏数据大大降低了黑客攻击的门槛,把整个黑色产业链的技术水平提高一个档次,攻击者仅需要对线程的代码做少量的修改便可生成强大的攻击“武器”,对整个互联网安全构成了严重的威胁。电脑管家第一时间发现并查杀该木马,能够对网络挂马行为进行拦截。同时,腾讯反病毒实验室提醒用户,及时安装软件厂商提供的安全补丁能够有效降低电脑被攻击的风险。

*本文作者:腾讯电脑管家(企业账户),转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/146352.html<

(0)
管理的头像管理
上一篇2025-03-11 01:27
下一篇 2025-03-11 01:29

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注