安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“简易下水道”:偷跑流量恶意软件分析

0×01前言

现今由于易语言的出现,中文编程的门槛越来越低,虽然很多人对此不屑一顾,但不得不说,这门语言的出现,大大降低了黑产行业的门槛。易语言编写简单,入门快,再加上各种易模块,使得简单几行代码就能实现一些强大的功能。据不完全统计,90%以上的游戏辅助和各类抢购软件都出自易语言开发,大量恶意程序也出自易语言之手。早在2011年亚洲反病毒大会上,微软工程师JIM就针对易语言程序的逆向进行了演讲,使得易语言程序的分析变得简单。笔者搜集了部分相关资料,通过对易语言程序结构的学习,分析了一款刷流量的恶意软件。

0×02运行效果

该程序伪装为IE图标,运行后窗口被隐藏起来,通过PCHunter把程序窗口隐藏属性去掉,效果如下图。

14909248492599.png!small

14909248602724.png!small

0×03基本流程

该程序的窗口在启动时被隐藏起来,通过定时器访问C&C地址,跳转到各类推广连接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口,该程序通过枚举窗口检查后,通过模拟点击关闭这些窗口。

14909248737893.png!small

0×04详细分析

该程序是易语言程序,通过分析易语言程序的结构得知,包含一个窗口、4个定时器、3个浏览器控件、一个选择框和一个编辑框。易语言窗口程序只需要分析它控件回调即可。

1.窗口初始化功能

该程序获取系统中的所有进程。

14909248846706.png!small

检查进程列表中是否有包含“qq”字符串的应用程序。

14909248967307.png!small

结束掉所有QQ进程。

1490924908167.png!small

InlineHook “waveOutWrite”、”midiStreamOut”、”DirectSoundCreate”、”InternetReadFile”这4个函数,让程序保持静音。

14909249777474.png!small

开启4个定时器,第一个定时器为5秒执行一次,后面3个定时器是随机时间

14909249901563.png!small

设置随机数种子,并取随机数

14909250641126.png!small

设置3个定时器随机时间间隔。

14909250789806.png!small

2.定时器1

使用易语言 超文本浏览框.跳转 对3个浏览器控件访问下面的URL,这些URL会随机访问各类推广网站,比如赌博、黄色、游戏推广、营销推广连接等。

 ”http://www.sunshoo.com/10001.html

 ”http://www.0571jihao.com/reyu.html

 ”http://www.bangyuanhome.com

 ”http://www.sunshoo.com/10002.html

 ”http://www.0571jihao.com/eqsythjkl.html

14909250946635.png!small

3.定时器2

查找所有的QQ加群窗口。

14909251094469.png!small

枚举QQ加群窗口的所有子窗口。

14909251233232.png!small

检查子窗口的标题是否是如果“离开”或者“确定”

14909251411991.png!small

1490925153928.png!small

激活子窗口,通过发送按键消息,模拟点击空格键,关闭加QQ群的窗口。

14909251687894.png!small

1490925181782.png!small

同样的方法还对其他类似的弹出窗口进行模拟点击取消。

4.定时器3

清理IE缓存

14909258398735.png!small

14909252709715.png!small

5.定时器4

关闭所有QQ进程。

20.png

0×04总结

该程序结构清晰,在定时器访问C&C地址,跳转到各类推广链接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口,该程序通过枚举窗口检查后,通过模拟点击关闭这些窗口,使得用户无法察觉。但由于部分弹出窗口没有被及时关闭,使得自身浏览器控件被占用,系统便打开默认浏览器跳转到目标链接。最终变成每隔一段时间自动打开浏览器并跳转到广告页中。

 *本文作者:吃荤的驴子

未经允许不得转载:安全路透社 » “简易下水道”:偷跑流量恶意软件分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册