最近，宅宅聽說一個(gè)朋友和游戲里認(rèn)識(shí)了兩個(gè)月隊(duì)友奔現(xiàn)脫單了，還有這種操作？閑（xiang）來（zhao）無（dui）事（xiang）的宅宅準(zhǔn)備找?guī)讉€(gè)網(wǎng)游玩玩。

打開某個(gè)2017熱門網(wǎng)游排行榜，宅宅發(fā)現(xiàn)排名靠前的熱門游戲都相當(dāng)大手筆，代言人請(qǐng)了張家輝、古天樂、陳小春一票男神。

抱著試一試的心態(tài)宅宅選了一個(gè)看起來并不難的游戲，順手點(diǎn)了下載，等待安裝的過程中還特意選了一個(gè)人美奶大的角色，準(zhǔn)備進(jìn)行一番廝殺。

萬萬沒想到，下載下來的竟然是病毒……

惡性病毒？熱門游戲正被病毒團(tuán)伙利用

近日，有病毒團(tuán)伙利用被制作者偽裝成安裝數(shù)據(jù)統(tǒng)計(jì)組件的后門病毒“Backdoor/Jsctrl”，通過植入《傳奇世界》、《傳奇霸業(yè)》、《藍(lán)月傳奇》、《九天封神》等熱門游戲的微端安裝包內(nèi)，用戶在PChome、下載吧等網(wǎng)站下載某些軟件時(shí)，會(huì)被捆綁安裝這些游戲微端，而病毒也借機(jī)進(jìn)入用戶電腦。

病毒入侵電腦后，病毒制作者可以通過修改服務(wù)器上的后門代碼，遠(yuǎn)程操控受害者電腦，進(jìn)行多種破壞行為，包括下載其他病毒程序、后臺(tái)暗刷流量等。

據(jù)雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）了解，這一病毒致使每天約 30-50 萬臺(tái)電腦感染病毒，且病毒“Backdoor/Jsctrl”極為頑固、隱蔽，不僅無法通過卸載游戲清除，還具備“反追蹤”設(shè)置，可以監(jiān)測遠(yuǎn)程協(xié)助軟件（如安全廠商常用的TeamViewer等）中的運(yùn)行窗口，一旦發(fā)現(xiàn)正在被遠(yuǎn)程協(xié)助，則會(huì)徹底刪除病毒相關(guān)所有文件，以免被安全研究人員追蹤。

這是如何實(shí)現(xiàn)的？

樣本分析

火絨安全實(shí)驗(yàn)室在追蹤過程中，發(fā)現(xiàn)該后門病毒在上述游戲微端按轉(zhuǎn)包運(yùn)行后即被植入，且即便游戲被卸載仍然會(huì)常駐系統(tǒng)，該病毒會(huì)在遠(yuǎn)程 C&C 服務(wù)器存放的 JavaScript 代碼控制下，利用病毒中封裝的 JavaScript 對(duì)象可以執(zhí)行任意 Windows API 或其他后門邏輯（如：下載、運(yùn)行命令行等）。并且，該 C&C 服務(wù)器下發(fā)的后門腳本仍處于持續(xù)更新狀態(tài)。

上文所述的幾款游戲微端安裝包中都包含有相同惡意代碼，下文以 cqsj_Y_905908_feitian.exe（《傳奇世界》游戲微端安裝包）為例展開詳細(xì)分析。此類安裝包的文件名通常為“xxxx_Y_nnnnnn_*.exe”（‘x’代表任意字母，‘n’代表任意數(shù)字，‘*’代表部分內(nèi)容不固定）。安裝包整體邏輯如下圖所示：

 

病毒執(zhí)行流程圖

游戲微端安裝包

該病毒安裝包中都包含有一個(gè)病毒動(dòng)態(tài)庫（病毒動(dòng)態(tài)庫名通常為“游戲全拼首字母.dll”，如：“tdzs.dll”對(duì)應(yīng)“天地諸神”）。文件屬性如下圖所示： 

安裝包文件屬性

將NSIS安裝包進(jìn)行解包后，可以在NSIS腳本中看到tdzs.dll調(diào)用邏輯。如下圖所示：

 

NSIS腳本中調(diào)用tdzs.dll代碼

運(yùn)行安裝包之后，可以看到其進(jìn)程調(diào)用關(guān)系及tdzs.dll調(diào)用參數(shù)。如下圖所示： 

安裝包運(yùn)行

安裝后，游戲登陸界面如下：

游戲運(yùn)行界面

通過安裝發(fā)現(xiàn)，雖然安裝包文件信息為“天地諸神微端”，但是安裝后的游戲界面卻是《37傳奇世界》登錄界面，安裝邏輯較為混亂。

tdzs.dll

tdzs.dll動(dòng)態(tài)庫在文件信息中說明自己是“安裝數(shù)據(jù)統(tǒng)計(jì)”程序，且在軟件卸載時(shí)，該病毒動(dòng)態(tài)庫也會(huì)被一起刪除，從而誘使用戶誤以為該動(dòng)態(tài)庫只進(jìn)行“安裝數(shù)據(jù)統(tǒng)計(jì)”操作。文件信息如下圖所示： 

安裝包釋放的病毒動(dòng)態(tài)庫文件屬性

微端卸載程序刪除tdzs.dll相關(guān)NSIS腳本，如下圖所示：

 

卸載相關(guān)NSIS腳本

雖然tdzs.dll會(huì)被卸載程序刪除，但是該動(dòng)態(tài)庫是直接被安裝包進(jìn)行調(diào)用的，所以通常在用戶對(duì)游戲微端進(jìn)行卸載時(shí)，病毒邏輯已經(jīng)執(zhí)行完畢。tdzs.dll動(dòng)態(tài)庫執(zhí)行參數(shù)，如下圖所示：

 

tdzs.dll運(yùn)行參數(shù)

在tdzs.dll被rundll32調(diào)用后，首先會(huì)在全局構(gòu)造過程中創(chuàng)建名為external的JavaScript對(duì)象，在該對(duì)象中封裝了很多較為底層的方法（相較于在瀏覽器中執(zhí)行的JavaScript腳本），用于執(zhí)行其從遠(yuǎn)端服務(wù)器獲取到的后門代碼。

在報(bào)告中所提及的三個(gè)病毒樣本（tdzs.dll、隨機(jī)名服務(wù)和up_zlib1.dll）中，關(guān)鍵的字符串?dāng)?shù)據(jù)都是經(jīng)過XOR加密的，每一個(gè)字符串解密都對(duì)應(yīng)一個(gè)獨(dú)立的解密函數(shù)。解密代碼舉例，如下圖所示：

 解密字符串

構(gòu)造external對(duì)象的相關(guān)邏輯以在對(duì)象中添加callapi方法為例，如下圖所示： 

向external對(duì)象添加方法

 callapi函數(shù)實(shí)現(xiàn)

除了callapi函數(shù)外，external對(duì)象中還實(shí)現(xiàn)有諸多方法，本文所提及的三個(gè)病毒樣本運(yùn)行遠(yuǎn)程后門腳本邏輯全部都依托于external對(duì)象。部分關(guān)鍵方法列表，如下圖所示：

external中封裝的方法列表

在構(gòu)造external對(duì)象之后，會(huì)統(tǒng)計(jì)當(dāng)前進(jìn)程關(guān)系信息和一些本地計(jì)算機(jī)信息（如：IP地址、MAC地址、CPU ID等），之后再將數(shù)據(jù)轉(zhuǎn)為字符所對(duì)應(yīng)的二進(jìn)制字符串，經(jīng)過加密后將最終數(shù)據(jù)發(fā)送到C&C服務(wù)器（hxxp://cdn.37wanyou.com）的53端口。相關(guān)代碼如下所示： 

獲取進(jìn)程關(guān)系信息

獲取本地計(jì)算機(jī)信息

最終上傳至服務(wù)器中的數(shù)據(jù)，如下圖所示：

 

上傳的數(shù)據(jù)

在將加密后的數(shù)據(jù)上傳C&C服務(wù)器之后，C&C服務(wù)器會(huì)返回一段被加密的壓縮數(shù)據(jù)。在將數(shù)據(jù)還原后，程序會(huì)得到一個(gè)后門JavaScript腳本，通過運(yùn)行腳本執(zhí)行后門邏輯（其他病毒組件也同樣存在相同邏輯，下文不再贅述）。

下載數(shù)據(jù)解密邏輯如下圖所示：

下載解密JavaScript腳本

調(diào)用ScriptControl.AddObject引用external對(duì)象后，執(zhí)行后門JavaScript代碼。腳本執(zhí)行邏輯，如下圖所示：

執(zhí)行后門JavaScript代碼

程序執(zhí)行的后門腳本可以通過云端控制，現(xiàn)階段病毒已經(jīng)進(jìn)入蟄伏期，tdzs.dll所執(zhí)行的遠(yuǎn)程腳本已經(jīng)不再釋放后續(xù)病毒，只有個(gè)別環(huán)境才能運(yùn)行出遠(yuǎn)程腳本調(diào)用邏輯，進(jìn)行軟件推廣。另外，通過終端威脅情報(bào)系統(tǒng)檢索與該病毒相關(guān)的行為信息時(shí)，可以發(fā)現(xiàn)除了《傳奇世界》游戲微端帶有tdzs.dll病毒動(dòng)態(tài)庫外，還有其他游戲微端安裝程序（下圖為《九天封神》相關(guān)數(shù)據(jù)）也會(huì)釋放運(yùn)行該病毒，且調(diào)用參數(shù)與前文所述完全相同?；鸾q捆綁攔截功能日志，如下圖所示：

捆綁攔截日志

隨機(jī)名服務(wù)

該病毒服務(wù)的文件名是通過固定字典隨機(jī)組合兩個(gè)英文單詞而成，文件名例如：AcceleratorLeaders.exe、AcronymOcclude.exe等等。病毒服務(wù)啟動(dòng)后會(huì)創(chuàng)建一個(gè)相同的子進(jìn)程，父進(jìn)程為守護(hù)進(jìn)程，當(dāng)子進(jìn)程被結(jié)束時(shí)會(huì)重啟啟動(dòng)子進(jìn)程。代碼邏輯，如下圖所示：

 

等待進(jìn)程退出

 

重新創(chuàng)建進(jìn)程

在子進(jìn)程創(chuàng)建之后，父進(jìn)程會(huì)執(zhí)行與tdzs.dll中相似的信息收集流程（收集進(jìn)程關(guān)系信息和本地計(jì)算機(jī)信息），之后由父進(jìn)程將加密后的數(shù)據(jù)上傳至C&C服務(wù)器（hxxp:// update.wanyou7.com:3900/config/gameupdate.asp）。上傳后，服務(wù)器會(huì)返回JavaScript腳本進(jìn)行下一步病毒釋放和執(zhí)行（執(zhí)行JavaScript腳本相關(guān)邏輯與上文相同）。但如上文推斷，現(xiàn)階段該病毒已經(jīng)進(jìn)入“蟄伏期”，該鏈接已經(jīng)無法訪問。在服務(wù)還可以繼續(xù)釋放病毒文件的時(shí)，病毒服務(wù)會(huì)釋放up_zlib1.dll并使用rundll32進(jìn)行執(zhí)行，由于服務(wù)文件說明為“游戲微端更新”，使得其釋放其他病毒文件時(shí)不會(huì)引起用戶注意。

病毒服務(wù)的文件信息，如下圖所示：

病毒服務(wù)文件信息

病毒服務(wù)所使用的簽名并不固定，如火絨截獲的另一個(gè)相同的病毒服務(wù)文件信息，如下圖所示： 

文件信息

病毒服務(wù)使用rundll32調(diào)用up_zlib1.dll，如下圖所示：

 

病毒服務(wù)調(diào)用up_zlib1.dll日志

子進(jìn)程也會(huì)將上述進(jìn)程信息和計(jì)算機(jī)數(shù)據(jù)發(fā)送至C&C服務(wù)器的另一個(gè)服務(wù)頁面（hxxp:// update.wanyou7.com:3900/config/crm.asp），上傳數(shù)據(jù)后返回JavaScript腳本并進(jìn)行執(zhí)行。

JavaScript腳本邏輯，如下圖所示：

crm.asp頁面中獲取到的JavaScript腳本

如上圖，如果檢測到遠(yuǎn)程協(xié)助窗口類名（如：TeamViewer等）和數(shù)據(jù)包過濾分析工具進(jìn)程（包括WireShark、Fidder、HttpAnalyze），則會(huì)調(diào)用external對(duì)象中的SvcExecScript方法執(zhí)行遠(yuǎn)程C&C服務(wù)器（hxxp://update.wanyou7.com:3900/config/service.asp）中存放的JavaScript腳本執(zhí)行自毀邏輯。自毀主邏輯代碼，如下圖所示：

 

自毀代碼

如圖，JavaScript腳本會(huì)依次執(zhí)行close_proc_has_module、del_self和del_dllservice三個(gè)函數(shù)執(zhí)行自毀邏輯。close_proc_has_module函數(shù)用于遍歷遍歷進(jìn)程，將進(jìn)程模塊中包含“up_zlib1.dll”的進(jìn)程全部結(jié)束。具體邏輯，如下圖所示：

結(jié)束所有加載指定模塊名的進(jìn)程

del_self函數(shù)主要用于刪除當(dāng)前進(jìn)程鏡像文件，如下圖所示： 

del_self函數(shù)代碼邏輯

del_dllservice函數(shù)邏輯會(huì)先檢測是否存在指定服務(wù)名的注冊(cè)表啟動(dòng)項(xiàng)（如果未指定則刪除自身服務(wù)項(xiàng)），如果存在則通過調(diào)用“sc delete”和“sc stop”結(jié)束并刪除病毒服務(wù)。如下圖所示： 

del_dllservice函數(shù)代碼邏輯

up_zlib1.dll

up_zlib1.dll動(dòng)態(tài)庫被rundll32調(diào)用后會(huì)創(chuàng)建隱藏的web控件，在后臺(tái)暗刷流量，并且在訪問導(dǎo)航頁面的同時(shí)，病毒還利用JavaScript腳本模仿用戶操作，欺騙導(dǎo)航站的作弊檢測邏輯。在顯示web控件窗口后，執(zhí)行效果如下圖所示： 

執(zhí)行效果

up_zlib1.dll動(dòng)態(tài)庫由服務(wù)進(jìn)行調(diào)用。調(diào)用參數(shù)，如下圖所示： 

up_zlib1.dll調(diào)用參數(shù)

調(diào)用參數(shù)網(wǎng)址（hxxp://121.43.33.129:8064/apithird/getlink）中存放有一段JavaScript腳本，如下圖所示： 

JavaScript腳本片段

在進(jìn)行上述訪問時(shí)，host_id屬性是隨機(jī)的，每個(gè)host_id所對(duì)應(yīng)的script鏈接屬性各不相同。在拿到host_id后，動(dòng)態(tài)庫會(huì)使用rundll32再次調(diào)用up_zlib1.dll動(dòng)態(tài)庫，網(wǎng)址參數(shù)中傳入了host_id和來自delay成員中的任意數(shù)值。如下圖所示：

運(yùn)行參數(shù)

此次在服務(wù)器中獲取到的內(nèi)容，如下圖所示： 

第二次請(qǐng)求獲取的內(nèi)容

url_list屬性中存放的是web控件在刷取流量時(shí)要跳轉(zhuǎn)的網(wǎng)址，如果網(wǎng)址為“about:blank”，則跳轉(zhuǎn)網(wǎng)址會(huì)由script屬性網(wǎng)址返回的JavaScript腳本進(jìn)行設(shè)置。病毒會(huì)創(chuàng)建出一個(gè)隱藏的窗體，之后在該窗體上繪制web控件。在創(chuàng)建窗體之前，程序先會(huì)檢測當(dāng)前模塊文件所在目錄下是否存在擴(kuò)展名為“.debug”的同名文件，如果存在則會(huì)顯示web控件所在窗體，病毒作者可能在測試時(shí)使用。

創(chuàng)建窗體相關(guān)代碼，如下圖所示：

創(chuàng)建窗體

 

窗口類初始化

在窗口響應(yīng)WM_CREATE消息時(shí)會(huì)設(shè)置一個(gè)Timer，間隔為8秒。在窗口回調(diào)函數(shù)接收到WM_Timer消息后，如果網(wǎng)頁加載狀態(tài)readyState值為complete或者interactive，則在網(wǎng)頁中插入從遠(yuǎn)端服務(wù)器地址（http://tj.im991.com/dh/view_360_uv_so.asp）中獲取到的JavaScript腳本。相關(guān)代碼，如下圖所示： 

窗口回調(diào)函數(shù)

檢測readyState相關(guān)邏輯，如下圖所示： 

檢測readyState

如果頁面加載完成，則在頁面中插入script標(biāo)簽執(zhí)行JavaScript腳本。如下圖所示： 

創(chuàng)建script標(biāo)簽

添加腳本內(nèi)容

程序會(huì)在獲取到C&C服務(wù)器地址（http://tj.im991.com/dh/view_360_uv_so.asp）末尾拼接“t=1”參數(shù)，如果沒有該參數(shù)則無法獲取到完整的JavaScript代碼?！皌=1”參數(shù)所影響的關(guān)鍵代碼，如下圖所示： 

腳本關(guān)鍵邏輯

__get_url函數(shù)用于從網(wǎng)址列表中隨機(jī)獲取網(wǎng)址，如下圖所示：

 

__get_url函數(shù)邏輯

模擬用戶操作部分主要可以進(jìn)行搜索關(guān)鍵字和點(diǎn)擊網(wǎng)頁連接操作，如下圖所示： 

模擬用戶操作

溯源分析

說了這么多，這個(gè)神秘的病毒團(tuán)伙是否有露出蛛絲馬跡？

據(jù)雷鋒網(wǎng)了解，火絨安全實(shí)驗(yàn)室在對(duì)多數(shù)主流下載站進(jìn)行排查之后，發(fā)現(xiàn) “下載吧”和“電腦之家”下載站現(xiàn)今所提供的高速下載器會(huì)推廣該病毒安裝包。如下圖所示：

 

推廣列表

雖然病毒安裝包釋放的動(dòng)態(tài)庫名稱不盡相同，但是調(diào)用參數(shù)與前文所述tdzs.dll完全相同，且代碼邏輯也完全相同。這些病毒安裝包的下載地址都來自于域名“hxxp://cdn.xunshark.cn”，且這些病毒安裝包與前文提到的病毒安裝包（cqsj_Y_905908_feitian.exe）簽名同為“北京迅XXX有限公司”簽名。如下圖所示： 

安裝包簽名信息

安裝包所釋放病毒動(dòng)態(tài)庫簽名信息也同為“北京迅XXX有限公司”，如下圖所示： 

病毒動(dòng)態(tài)庫文件簽名信息

該組病毒文件中，up_zlib1.dll的簽名信息還涉及另一家公司“北京神州XXXXXX有限公司”。簽名信息，如下圖所示：

 

up_zlib1.dll簽名信息

通過搜索該公司的知識(shí)產(chǎn)權(quán)信息，可以找到另一款同樣帶有該模塊的軟件。如下圖所示： 

軟件著作權(quán)信息

在下載檸檬輸入法軟件安裝后，也發(fā)現(xiàn)了具有相同數(shù)據(jù)和代碼邏輯的“zlib1.dll”。如下圖所示： 

軟件下載

對(duì)”up_zlib1.dll”和檸檬輸入法中的“zlib1.dll”動(dòng)態(tài)庫脫殼后，可見同源性代碼及數(shù)據(jù)，如下圖所示：

代碼同源性 

數(shù)據(jù)同源性

本文由火絨實(shí)驗(yàn)室投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。