遠控木馬上演白利用偷天神技：揭秘假破解工具背後的盜刷暗流

如今，不少人為了省錢，會嘗試各種免費的方法獲取網盤或視頻播放器的會員許可權，網上也流傳著不少「網盤不限速神器」或者「播放器VIP破解工具」。不過，這些「神器」既不靠譜更不安全，因為它們已經被木馬盯上了。

近日，360安全中心監測到一批偽裝成「迅雷9.1尊貴破解版」、「百度網盤不限速」工具的遠控木馬正大肆傳播。為了掩人耳目，木馬不僅會添加桌面的快捷方式圖標、軟體安裝的註冊表信息，還足足利用了三層白利用才完成安裝。最為精妙的是，其中一層白利用中，木馬利用了BlueSoleil（一款藍牙軟體）的安裝程序，直接修改配置文件（setup.ini）便實現了對白程序的劫持，讓正規軟體的安裝程序轉眼變成木馬安裝的溫床。

遠控木馬入侵後，會趁中招者不注意安裝Teamviewer等遠程工具，進一步伺機竊取中招者的網銀及遊戲賬號，實現轉賬盜刷及竊取遊戲裝備等操作。據360監測全網數據顯示，該木馬自7月11日集中爆發以來一直陰魂不散，更出現過多次小規模反彈，未來不排除利欲熏心的不法分子持續作案的可能。

下面以「迅雷9.1尊貴破解版」為例進行簡要分析：

圖1

文件相關性如下圖所示：

圖2

安裝過程：

綠化.exe:將Program目錄下的XLGraphicPlu.DLL改名為XLGraphicPlu.exe並執行：

通過比對迅雷官方文件發現官網包里並沒這個文件。

XLGraphicPlu.exe在桌面創建迅雷快捷方式圖標並添加迅雷安裝相關註冊表信息以此掩人耳目，同時還執行了SDK目錄下的AssistantTools.cmd。

而有意思的是AssistantTools.cmd實際是藍牙軟體BlueSoleil的安裝程序，它會通過setup.ini的配置，安裝軟體。這個程序被木馬利用，成為了木馬的安裝器。

setup.ini中的內容：

Setup.ini中，執行的lobaby.pif實際是NirCmd，它是一套功能齊全的命令行工具，被攻擊者用來執行木馬安裝，而執行的指令存儲在2345Picture.log中。

2345Picture.log中內容為一段批處理：

head+tale為完整的木馬PE

QMDL.exe文件是一個被木馬利用的正常程序，會主動去載入同目錄下的QMCommon.dll文件。而該dll文件實際是一個含有惡意代碼的木馬程序。

圖10

QMcommon.dll 利用zc.inf文件寫啟動項：

會將一段類似安裝驅動的inf（主要用於添加QMDL.exe到啟動項）寫入到c:windowsTempzc.inf里，並將rundll32.exe改名為zc.exe,同時創建zc.lnk指向：

創建zc.inf:

寫入Zc.inf文件中的內容如下：

QMcommon.dll：還會載入解密gif.txt內存執行

到此為止，木馬完成了安裝。

危害：

載入解密gif.txt內存執行之後是一個遠程控制程序，其CC伺服器為：hayden.vancleefarpelspro.com

測試時連接到的是一個廣東佛山順德區的一個ADSL IP：219.128.79.36

![揭秘假破解工具背後的盜刷暗流](http://image.3001.net/images/20170817/15029643418926.png!small)

我們回頭再看安裝的所謂迅雷尊貴破解版，並沒有實現什麼功能上的破解，使用會員功能仍然需要充值。

順便還看到了被打包迅雷之前的下載列表，滿滿的加殼工具！

回到這款遠控，黑客在用戶離開機器時，遠程安裝Teamviewer等遠程工具，並在受害人完全不知情的情況下通過記住密碼的旺旺登錄淘寶、支付寶，進行購買禮品卡或轉帳等操作。

根據360的觀察，該木馬從7月11日開始集中爆發，在7月14日達到3500次的傳播量。後在8月初的時候又出現了一波小的反彈，之後的傳播則逐漸下降。

與之對應的域名訪問趨勢也是類似：

360安全衛士早已防禦查殺該遠控木馬，在此建議廣大網民，想獲取VIP許可權，還是通過正規渠道進行辦理。如果想使用破解工具，也一定要在安全軟體的保護下運行，一旦安全軟體進行風險預警，切勿抱有僥倖心理繼續安裝運行。

*本文作者：360安全衛士，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！