伪装迅雷破解版网银盗号木马深度追踪

作者:360安全卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

近期360安全卫士拦截到了网银盗号木马,该木马伪装成加速器账号助手、迅雷VIP破解版、DNF连发工具等文件,在各大下载站发布,一旦运行,就会导致用户电脑被远程控制网银账户被盗取,经过深入的分析和追踪,最终定位到了木马作者。

 

木马传播过程

木马伪装成迅雷破解版,挂在下载站诱导用户下载。

用户从下载站下载的是一个压缩包,解压后的文件迅雷9.exe实际是木马作者编写的恶意文件。

运行上图中的迅雷9.exe会调用Program目录下的迅雷官方文件,并弹出如下界面迷惑用户。

运行迅雷VIP破解版后会偷偷释放出三个隐藏文件TencentMusic.exe、QQMusic.dll和gif.txt。

这三个文件使用白加黑技术来躲避查杀,其中白程序TencentMusic.exe运行后会加载QQMusic.dll文件,QQMusic.dll文件会解密gif.txt,在内存解密执行一个后门程序。主要流程如下:

样本分析

dll分析

QQMusic.dll文件会读取gif.txt文件的内容到内存解密执行

gif.txt是加密的, 在内存中解密出一个PE文件,如下:

从内存中dump出的文件是一个DLL程序,导出模块名为Install.dat(Torchwood.dll),其导出函数是Torchwood。

QQMusic.dll在内存中执行解密后的恶意模块Install.dat,调用主函数和导出函数Torchwood,执行后门功能。

Torchwood.dll分析

首先,远程连接c&c 地址(laptop.88***e.xyz)

端口是0x641

然后记录键盘操作

接着保存键盘记录信息并进行加密,等待远程回传指令

此外,该远控后门程序还包含多个其他功能

部分操作指令及对应的功能如下

受害用户案例

由于某些用户被木马的外表迷惑退出杀软,导致支付宝被盗屡有发生。以下是用户退出360安全卫士后支付宝被盗的真实案例。

用户在2017年11月18日主动退出安全卫士运行木马文件,如下:

木马潜伏2天后盗取用户的网银进行交易,如下:

追踪木马作者

通过对恶意样本的分析,我们找到了木马作者的重要信息:木马作者的QQ号码875***637。

通过QQ号码定位到作者购买的域名:

通过域名信息定位到作者的真实姓名及QQ邮箱:

通过QQ邮箱定位到163邮箱

通过QQ号码定位到作者手机号:

(完)