IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

无线宝宝wifi热点共享软件刷流量行为分析

发布时间:2016-10-16 05:27文章来源:互联网文章作者: 互联网点击次数:
近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。该恶意程序的主要功能是后台定向的流量推广等操作,目前腾讯电脑管家已全面拦截
近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。该恶意程序的主要功能是后台定向的流量推广等操作,目前腾讯电脑管家已全面拦截和查杀。

0×01 木马样本简介

如果你电脑上存在C:\ProgramData\AppData\*app\(Win7)、C:\Documents andSettings\All Users\Application Data\AppData\*app\ (XP)目录,那很可能你已经中招了。 1.png 感染表现 木马文件wifiinit.dll是南宁某科技有限责任公司的wifi热点共享软件——WifiBaby,安装后释放的dll文件。其在安装后注册为系统服务,主要功能为从服务端获取需要执行的任务,下载恶意程序到本地并执行。其下载的恶意程序通常重命名为系统exe,解析传入的参数执行特定的行为。截止到编写该文档,分析到的大部分行为为后台刷流量。 2.png 木马功能大致流程

0×02 详细分析

1. Wifiinit.dll行为分析

Wifibaby安装完成后,在其安装目录下会生成Wifiinit.dll,该dll被注册为系统服务随系统开启自启动,并与驱动程序wifinat.sys绑定。 其导出函数大部分为服务安装与卸载功能以及服务功能函数。 3.png 当服务异常的情况下,驱动wifinat.sys会调用其中RundllInstall来完成对驱动、服务的重新安装。 4.png 经过分析,定位到服务中恶意行为部分主要外层代码如下: 5.png 当服务启动后,首先判断是否有windbg、ida、OllDbg、Wireshark、Sniffer等进程存在,若有,则不触发恶意行为。Anti_debug内容如下: 6.png 若未发现调试工具,则尝试与服务器获取联系,获得服务器返回后的Taskid结构体后。程序会在GetTask函数里另起一个进程来处理获取到的Taskid: 7.png 在该线程中,首先按程序自身的协议构造包含有任务派发url:Dispatch.se.17wangwang.com的结构体,而后以udp形式与服务器进行通信,所有流量均经过解密处理。 8.png 在udp在经过通信协商,并获取到Taskid后,程序首先删除现有AppData/{Taskid}app/目录下的文件,此后再遍历并删除该目录下所有文件: 9.png 而后,程序将首先判断AppData目录下是否存在app.cfg,app.cfg是一个sqlite数据库,其以taskid为主键,data字段中存放对应taskid执行所需的加密后的exe文件数据。如下图: 10.png 若app.cfg文件不存在,则执行create table新建一个数据sqlite数据库文件: 11.png 若存在app.cfg文件,则先搜索数据库,判断对应taskid所需的exe是否存在: 12.png 若id存在,则直接读取数据库中data字段,生成一个以Taskid命名的raw文件,如图1中“79”文件。 倘若该id不存在,则再次解析服务端返回的数据,提取其中下载url和执行exe所需的参数以及exe解密所需的密钥。 提取到url后,执行下载:
无线宝宝wifi热点共享软件刷流量行为分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/512471.html

标签分类:

上一篇:上一篇:机器学习安全:鉴别僵尸网络面板
下一篇: 下一篇:通过Exchange ActiveSync访问内部文件共享
无觅关联推荐,快速提升流量