瘦男孩木馬分析報(bào)告

2017-03-27

6781

一、木馬簡(jiǎn)介網(wǎng)購(gòu)木馬“瘦男孩”（Lanker-Boy ）通過(guò)篡改支付訂單數(shù)據(jù)，以達(dá)到劫持受害網(wǎng)友交易資金的目的。該木馬家族最早出現(xiàn)在2014年9月，360QVM 組追蹤分析Lanker-Boy 傳播路

一、木馬簡(jiǎn)介

網(wǎng)購(gòu)木馬“瘦男孩”（Lanker-Boy ）通過(guò)篡改支付訂單數(shù)據(jù)，以達(dá)到劫持受害網(wǎng)友交易資金的目的。該木馬家族最早出現(xiàn)在2014年9月，360QVM 組追蹤分析Lanker-Boy 傳播路徑估算，國(guó)內(nèi)已有約百萬(wàn)臺(tái)電腦受到該木馬家族的威脅，一些游戲外{過(guò)}{濾}掛網(wǎng)站和兼職刷單聊天群是Lanker-Boy 木馬傳播的主要陣地。

網(wǎng)購(gòu)木馬最早在2010年前后出現(xiàn)，與早期的網(wǎng)購(gòu)木馬相比，Lanker-Boy 具有更高明的免殺手段，其解密運(yùn)行惡意代碼的機(jī)制使傳統(tǒng)特征碼殺毒引擎不能很好應(yīng)對(duì)，而且該木馬作者以Lanker-Boy 的賬號(hào)在各大殺毒軟件論壇“主動(dòng)反饋誤報(bào)”，通過(guò)社工欺騙手段蒙混過(guò)關(guān)，木馬也因此具有更強(qiáng)的傳播力和更多的存活空間。

圖：“Lanker-Boy”的運(yùn)作機(jī)制

二、“Lanker-Boy”名稱由來(lái)

1. 為了防止木馬重復(fù)感染，木馬作者在樣本中編寫(xiě)了互斥標(biāo)記，名為“Lanker”。

2. 木馬加密的DLL 文件名為L(zhǎng)anker.dll 。

3. 從2014年11月至2015年1月，木馬作者使用lanker-boy.com 域名傳播木馬。

4. 從2015年1月至2015年3月，木馬作者使用

5. 從2015年1月至今，木馬作者使用Lanker-boy 賬號(hào)在多家國(guó)內(nèi)殺軟論壇反饋“誤

報(bào)”，并成功騙取一些殺毒廠商信任，使其去除了原本可以查殺的病毒特征。

三、木馬特點(diǎn)

1）主動(dòng)上報(bào)

傳統(tǒng)情況下，木馬作者會(huì)躲避和殺毒軟件的接觸，從而避免木馬被查殺。而“Lanker-Boy”的木馬作者在編寫(xiě)完木馬后，第一時(shí)間將木馬上傳給殺毒廠商，偽裝“游戲大廳”的程序被誤報(bào)，要求殺毒廠商刪除病毒特征。而國(guó)內(nèi)某些廠商收到木馬后，不但沒(méi)能及時(shí)發(fā)現(xiàn)，反而去除了原本可以查殺的特征。

根據(jù)VirusTotal 掃描顯示，截止2015年4月7日，全球安全廠商中僅有360可以查殺“Lanker-Boy”的重要組件Lanker.dll 。

2）隱蔽性強(qiáng)

一旦木馬作者成功騙過(guò)殺毒軟件，使其刪除特征，后面的惡意行為操作就無(wú)法被查殺。

打開(kāi)木馬壓縮包可看到3個(gè)文件：

設(shè)置顯示隱藏文件與后綴名后：

木馬主程序?yàn)椤?23 .exe”，其圖標(biāo)類似普通記事本圖標(biāo)，目的是誘導(dǎo)用戶點(diǎn)擊。點(diǎn)擊后會(huì)加載同目錄下的非PE 文件，并解密執(zhí)行。由于主程序并不涵蓋實(shí)際惡意代碼，其它文件又為無(wú)實(shí)際意義的非PE 文件，致使傳統(tǒng)的特征引擎并不能很好得查殺。

3）傳播性強(qiáng)

由于有了前兩個(gè)前提條件，再加上普通用戶又很容易被其圖標(biāo)所迷惑，該木馬就可以在短時(shí)間內(nèi)大量的傳播，據(jù)360QVM 組統(tǒng)計(jì)，國(guó)內(nèi)目前已有約百萬(wàn)用戶受到該木馬的威脅。

木馬詳細(xì)分析

加載過(guò)程：

判斷文件名是否包含空格，如不包含則執(zhí)行正常程序，包含則執(zhí)行惡意代碼。目的是躲過(guò)一些殺毒廠商不嚴(yán)格的審核機(jī)制。