近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。该恶意程序的主要功能是后台定向的流量推广等操作,目前腾讯电脑管家已全面拦截和查杀。
0×01木马样本简介如果你电脑上存在C:\ProgramData\AppData\*app\(Win7)、C:\DocumentsandSettings\AllUsers\ApplicationData\AppData\*app\(XP)目录,那很可能你已经中招了。
感染表现
木马文件wifiinit.dll是南宁某科技有限责任公司的wifi热点共享软件——WifiBaby,安装后释放的dll文件。其在安装后注册为系统服务,主要功能为从服务端获取需要执行的任务,下载恶意程序到本地并执行。其下载的恶意程序通常重命名为系统exe,解析传入的参数执行特定的行为。截止到编写该文档,分析到的大部分行为为后台刷流量。
木马功能大致流程
0×02详细分析1.Wifiinit.dll行为分析Wifibaby安装完成后,在其安装目录下会生成Wifiinit.dll,该dll被注册为系统服务随系统开启自启动,并与驱动程序wifinat.sys绑定。
其导出函数大部分为服务安装与卸载功能以及服务功能函数。
当服务异常的情况下,驱动wifinat.sys会调用其中RundllInstall来完成对驱动、服务的重新安装。
经过分析,定位到服务中恶意行为部分主要外层代码如下:
当服务启动后,首先判断是否有windbg、ida、OllDbg、Wireshark、Sniffer等进程存在,若有,则不触发恶意行为。Anti_debug内容如下:
若未发现调试工具,则尝试与服务器获取联系,获得服务器返回后的Taskid结构体后。程序会在GetTask函数里另起一个进程来处理获取到的Taskid:
在该线程中,首先按程序自身的协议构造包含有任务派发url:Dispatch.se.17wangwang.北京中科白殿疯病医院北京治疗白癜风最好方法