11月14日，雷鋒網(wǎng)從火絨安全團(tuán)隊(duì)獲悉，一款名為“258集團(tuán)”旗下的多款軟件攜帶后門病毒“Backdoor/Jspider”。該病毒會(huì)將被感染電腦當(dāng)作“肉雞”，用來扒取阿里巴巴、微信等平臺(tái)上的企業(yè)相關(guān)信息，同時(shí)在搜索引擎上刷排名。

據(jù)分析，后門病毒“Backdoor/Jspider”通過“榴蓮搶票王”、“看美女”、“258安全衛(wèi)士”等258集團(tuán)旗下多款軟件進(jìn)行傳播，用戶電腦一旦安裝上述軟件，即會(huì)被病毒感染，即使卸載這些軟件，病毒依然留在電腦中作惡。

用戶電腦淪為“肉雞”后，會(huì)接收遠(yuǎn)程指令，去訪問阿里巴巴（www.1688.com）、清博大數(shù)據(jù)（www.gsdata.cn）和各大搜索引擎（百度、360、搜狗和中搜），不光扒取阿里巴巴的企業(yè)注冊(cè)信息和交易內(nèi)容（如貿(mào)易共需求信息等），還扒取微信公眾號(hào)里的各個(gè)企業(yè)信息，并在搜索引擎上為一些企業(yè)和產(chǎn)品刷排名。

上述操控“肉雞”的種種行為，會(huì)大量占用被感染電腦的CPU資源，產(chǎn)生電腦變慢、發(fā)熱等現(xiàn)象。

安全人員溯源后發(fā)現(xiàn)，此病毒早在2014年便已出現(xiàn)。該病毒制作者極為謹(jǐn)慎，當(dāng)檢測(cè)到電腦中存在“360安全衛(wèi)士”和“騰訊電腦管家”時(shí)，該病毒將不會(huì)下載安裝。

 樣本分析

多款安裝包簽名信息為“廈門書生天下軟件開發(fā)有限公司”的軟件會(huì)在用戶不知情的情況下，下載執(zhí)行遠(yuǎn)程服務(wù)器請(qǐng)求到的二進(jìn)制文件及一組JavaScript腳本，該組程序用于爬取企業(yè)信息及給定的關(guān)鍵字相關(guān)數(shù)據(jù)（爬取對(duì)象包括阿里巴巴1688.com、清博大數(shù)據(jù)gsdata.cn、百度搜索、360搜索、搜狗搜索和中國搜索）。

不僅如此，在卸載軟件后，該組程序依然會(huì)常駐于用戶計(jì)算機(jī)中，消耗CPU計(jì)算能力，與利用用戶電腦挖取比特幣的后門病毒本質(zhì)相同。當(dāng)同時(shí)執(zhí)行的計(jì)算任務(wù)較多時(shí)，甚至?xí)绊懹脩魧?duì)電腦的正常使用。因此，該組程序被定性為后門病毒。以軟件“看美女”為例，如下圖所示：

 

 ▲病毒執(zhí)行進(jìn)程樹

 

▲CPU占用情況

該組病毒最主要的兩個(gè)模塊，一個(gè)模塊名字通常為“*Loader.exe”（*代表任意字符，如上圖中為MeinvSearcherLoader.exe，下文中簡稱為Loader模塊），另一個(gè)模塊通常為“*Service.exe”（下文中簡稱為Service模塊）。Loader模塊為該組惡意軟件的啟動(dòng)器，如果環(huán)境中不存在該組病毒的其他組件，該程序可以從遠(yuǎn)程C&C服務(wù)器請(qǐng)求病毒的其他組件至本地進(jìn)行部署。Service模塊則為PhantomJS無界面瀏覽器，通過調(diào)用Domino.js可以從遠(yuǎn)程C&C服務(wù)器獲取任務(wù)腳本加載到Service中進(jìn)行執(zhí)行。

該組惡意程序執(zhí)行流程，如下圖所示：

 

▲惡意代碼執(zhí)行流程

惡意軟件的關(guān)鍵邏輯如上圖所示，安裝包首先會(huì)釋放出“看美女”軟件主程序“kanmeinv.exe”，再由主程序從遠(yuǎn)程C&C服務(wù)器下載Loader模塊到本地對(duì)該組惡意軟件進(jìn)行部署執(zhí)行。Loader運(yùn)行后先會(huì)將自身注冊(cè)自啟動(dòng)，之后下載nssm.exe、node.exe、一組腳本（包括Bootstrap.js、Domino.js、其代碼中使用的JavaScript庫模塊）及其配置文件。node.exe為NodeJS主程序。nssm.exe為服務(wù)管理程序，Loader通過調(diào)用nssm.exe將node.exe調(diào)用Bootstrap.js腳本的命令行加入到nssm.exe的啟動(dòng)列表中，開機(jī)后Bootstrap.js腳本就會(huì)被調(diào)用執(zhí)行。Bootstrap.js邏輯主要用于監(jiān)控Loader和Service進(jìn)程狀態(tài)，如果進(jìn)程不存在則會(huì)進(jìn)行創(chuàng)建。Loader進(jìn)程啟動(dòng)后，會(huì)使用Service調(diào)用Domino.js執(zhí)行遠(yuǎn)程C&C服務(wù)器派發(fā)的任務(wù)。

溯源分析

帶有該組病毒的軟件安裝包有“看美女”、“榴蓮搶票王”和“258商務(wù)衛(wèi)士”。相關(guān)安裝包文件信息，如下圖所示：

 

▲安裝包文件信息

上述軟件簽名時(shí)間最早的258商務(wù)衛(wèi)士可追溯至2014年，在最新版的258商務(wù)衛(wèi)士中主程序中也存在與前文所述病毒相關(guān)的數(shù)據(jù)。

 附錄

文中涉及樣本SHA256：

 

本文來自火絨安全團(tuán)隊(duì)的投稿，重要的事情說三遍，轉(zhuǎn)載請(qǐng)標(biāo)明來自雷鋒網(wǎng)、雷鋒網(wǎng)、雷鋒網(wǎng)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。