0
| 本文作者: 郭佳 | 2017-11-14 17:47 |
11月14日,雷鋒網從火絨安全團隊獲悉,一款名為“258集團”旗下的多款軟件攜帶后門病毒“Backdoor/Jspider”。該病毒會將被感染電腦當作“肉雞”,用來扒取阿里巴巴、微信等平臺上的企業相關信息,同時在搜索引擎上刷排名。
據分析,后門病毒“Backdoor/Jspider”通過“榴蓮搶票王”、“看美女”、“258安全衛士”等258集團旗下多款軟件進行傳播,用戶電腦一旦安裝上述軟件,即會被病毒感染,即使卸載這些軟件,病毒依然留在電腦中作惡。
用戶電腦淪為“肉雞”后,會接收遠程指令,去訪問阿里巴巴(www.1688.com)、清博大數據(www.gsdata.cn)和各大搜索引擎(百度、360、搜狗和中搜),不光扒取阿里巴巴的企業注冊信息和交易內容(如貿易共需求信息等),還扒取微信公眾號里的各個企業信息,并在搜索引擎上為一些企業和產品刷排名。
上述操控“肉雞”的種種行為,會大量占用被感染電腦的CPU資源,產生電腦變慢、發熱等現象。
安全人員溯源后發現,此病毒早在2014年便已出現。該病毒制作者極為謹慎,當檢測到電腦中存在“360安全衛士”和“騰訊電腦管家”時,該病毒將不會下載安裝。
多款安裝包簽名信息為“廈門書生天下軟件開發有限公司”的軟件會在用戶不知情的情況下,下載執行遠程服務器請求到的二進制文件及一組JavaScript腳本,該組程序用于爬取企業信息及給定的關鍵字相關數據(爬取對象包括阿里巴巴1688.com、清博大數據gsdata.cn、百度搜索、360搜索、搜狗搜索和中國搜索)。
不僅如此,在卸載軟件后,該組程序依然會常駐于用戶計算機中,消耗CPU計算能力,與利用用戶電腦挖取比特幣的后門病毒本質相同。當同時執行的計算任務較多時,甚至會影響用戶對電腦的正常使用。因此,該組程序被定性為后門病毒。以軟件“看美女”為例,如下圖所示:
▲病毒執行進程樹
▲CPU占用情況
該組病毒最主要的兩個模塊,一個模塊名字通常為“*Loader.exe”(*代表任意字符,如上圖中為MeinvSearcherLoader.exe,下文中簡稱為Loader模塊),另一個模塊通常為“*Service.exe”(下文中簡稱為Service模塊)。Loader模塊為該組惡意軟件的啟動器,如果環境中不存在該組病毒的其他組件,該程序可以從遠程C&C服務器請求病毒的其他組件至本地進行部署。Service模塊則為PhantomJS無界面瀏覽器,通過調用Domino.js可以從遠程C&C服務器獲取任務腳本加載到Service中進行執行。
該組惡意程序執行流程,如下圖所示:
▲惡意代碼執行流程
惡意軟件的關鍵邏輯如上圖所示,安裝包首先會釋放出“看美女”軟件主程序“kanmeinv.exe”,再由主程序從遠程C&C服務器下載Loader模塊到本地對該組惡意軟件進行部署執行。Loader運行后先會將自身注冊自啟動,之后下載nssm.exe、node.exe、一組腳本(包括Bootstrap.js、Domino.js、其代碼中使用的JavaScript庫模塊)及其配置文件。node.exe為NodeJS主程序。nssm.exe為服務管理程序,Loader通過調用nssm.exe將node.exe調用Bootstrap.js腳本的命令行加入到nssm.exe的啟動列表中,開機后Bootstrap.js腳本就會被調用執行。Bootstrap.js邏輯主要用于監控Loader和Service進程狀態,如果進程不存在則會進行創建。Loader進程啟動后,會使用Service調用Domino.js執行遠程C&C服務器派發的任務。
帶有該組病毒的軟件安裝包有“看美女”、“榴蓮搶票王”和“258商務衛士”。相關安裝包文件信息,如下圖所示:
▲安裝包文件信息
上述軟件簽名時間最早的258商務衛士可追溯至2014年,在最新版的258商務衛士中主程序中也存在與前文所述病毒相關的數據。
文中涉及樣本SHA256:
本文來自火絨安全團隊的投稿,重要的事情說三遍,轉載請標明來自雷鋒網、雷鋒網、雷鋒網。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
