「大黃蜂」遠控挖礦木馬分析與溯源

事件背景

：

近日，騰訊安全反病毒實驗室發現了一類遠控木馬具有爆發的趨勢。通過跟蹤發現，此類木馬不僅保留了遠控的功能，而且隨著虛擬貨幣價格的水漲船高，木馬加入了挖礦的功能，用用戶的機器來實現自己利益的最大化。通過哈勃同源系統的分析發現，木馬作者還在頻繁的更新木馬功能、感染用戶量也在迅速增加，值得引起我們足夠 的關注。下面我們會從感染後現象、影響範圍、技術分析及溯源上做詳細介紹和分析。

現象

與

危害：

感染現象

感染該類木馬後，您的計算機CPU經常佔用 100%，並且 會發現常駐進程 winInit.exe。同時，查看啟動的服務，會發現名為Apache Tomcat 9.0 Tomca9 的服務處於啟動狀態。

影響範圍：

通過訪問黑客的伺服器，可以看到惡意程序 xz.exe和xz32.exe 都有上萬的下載量。 並且，通過觀察發現，每日新增下載量也不斷增大， 病毒程序感染了越來越多的受害者。

技術

分析：

通過分析發現，該木馬啟動後，會釋放多個可執行文件，我們按其 實現的不同的 功能，將這些可 執行程序，劃分為遠控模塊、挖礦模塊和清理模塊三個模塊，分別用於遠程控制、虛擬貨幣挖礦以及刪除清理文件以躲避查殺。

下面我們將從技術細節上詳細介紹下主要的模塊 。

遠控模塊

1. 888.exe運行後會從

 

資源里釋放dll

 

文件，並命名為隨機名。接著

 

，

 

888.exe 會將釋放的dll文件註冊為RemoteAccess服務

 

項

 

，並通過從新啟動服務已得到載入該dll。

該dll載入後，會刪除系統log日誌，並將自身複製為%ProgramData%Aebblnroq.psd ，同時，還會向 %ProgramData%Aebblnroq.psd寫入大量隨機數以躲避雲查， 但我們發現，有 一定的幾率會把%ProgramData%Aebblnroq.psd文件寫壞，導致無法正常運行。接著會 註冊%ProgramData%Aebblnroq.psd 為Tomcat9 服務：

2. 8881.exe運行後會在%TEMP%目錄 釋放隨機名的dll文件，並調用其導出函數Install ，安裝該dll為服務名為Microsoft Corporationot的 服務。

服務啟動後，獲取、加密用戶計算機版本信息等隱私信息發送到伺服器，並等待伺服器的遠控指令 。

通過對發送數據以及加密方式的分析，我們可以看出發送的數據和加密方式和Gh0st遠控非常相似，可以認定其為Gh0st遠控的變種：

（解密後的數據）

3. server.exe運行後會複製自身為隨機名，並在文件最後填充大量的0，使得大小可以有20多M，用來躲避雲查。隨後 將該文件註冊為系統服務。

挖礦模塊

木馬啟動後會在%TEMP%目錄下釋放xmrigbu.exe 可執行文件，該可執行文件首先會將自身複製到%windir%w1ninit.exe ：

w1ninit.exe運動後會創建%TEMP%win1nitwin1nit.exe用於 挖礦，該文件由UPX加殼 保護。通過分析發現，%TEMP%win1nitwin1nit.exe 會首先訪問伺服器獲取挖礦信息，包括礦池、礦工ID等，隨後會配置好參數進行挖礦 ：

我們可以看到伺服器返回的礦池和礦工信息，通過查詢礦工的收益 ，可以看到不長時間內，已經挖到了 14個Monero幣，按當前<img src="//i1.wp.com/chart.googleapis.com/chart?cht=tx&chl=120%E7%9A%84%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E4%BB%B7%E6%A0%BC%E7%AE%97%EF%BC%8C%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E5%B7%B2%E7%BB%8F%E6%94%B6%E7%9B%8A" alt="120的價格算，已經收益"> 1680，摺合人民幣10840元。

清理模塊

惡意木馬運行最後會創建%TEMP% ~DeL!.bAt文件， 用來刪除自身， 從而達到隱藏的 目的。

溯源：

由上邊的分析可以看到該木馬訪問了7

.me和6

.me 兩個域名，查詢其ip地址為50.

.

.38 ，位於美國境內。 查詢域名的whois信息發現，其whois信息有隱私保護，未能查到有效的信息：

我們通過訪問黑客的伺服器，跟蹤發現伺服器 出現了一個名為「桌面.zip 」的壓縮包文件 。下載解壓縮該文件，其中有一個名為「何以解憂Ver6.3s.exe」 的 文件，該文件為.Net編寫，通過分析該 二進位裡邊包含的 鏈接地址

www.0

*

.com

 ，經由whois查詢 ，我們得知了一些黑客作者的信息：

其中，可以看到，該域名註冊者名為Huang Feng， 地址為福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu )，電話為132

0024，

[

郵箱為10**

60@qq.com

]

(mailto:%E9%82%AE%E7%AE%B1%E4%B8%BA10

**

60@qq.com)。從郵箱地址我們可以得到域名註冊者的QQ號碼為10

**

60。通過這些信息，我們可以對該木馬作者做出 更加 詳細的畫像。

通過域名註冊者的電話號碼查詢其支付寶帳號，我們可以看到其地區為福建泉州，與域名whois註冊信息相符，可以確定whois註冊信息 的準確性。 由於支付寶帳戶名稱和真實姓名有隱私保護，我們暫為得知其真實姓名和支付寶註冊郵箱信息。

通過在搜索引擎上查詢其QQ號碼，可以看到該木馬作者活躍於各類工具類論壇，熱衷於提權、DDoS 、殭屍網路等技術：

 

接著，我們查詢其QQ信息，得知木馬作者年齡可能在18歲左右：

我們進一步去訪問其QQ空間，可以看到其相冊封面是只黃蜂，同時 ，相冊里有張王者榮耀的截圖，得知其王者榮耀帳號名稱為「bumblebees」 ，為大黃蜂的意思。 通過 分析的照片可以看到作者應該年紀不大。其中一個相冊需要密碼訪問，而密碼提示為「啥子學校」，可以間接印證木馬作者應該還在上學或剛畢業 ，與QQ登記的 18歲相符合。

通過以上的溯源分析，我們可以得到該木馬作者的基本畫像：

年齡：18歲

地址：福建泉州市

愛好：黑客工具、論壇；王者榮耀

目前，騰訊電腦管家和哈勃分析系統均可以準備識別該類病毒，安裝電腦管家的用戶無需擔心感染該病毒 。

*本文作者：騰訊電腦管家，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: