安全中心 > 安全热点分析 > ZombieBoy木马分析报告

ZombieBoy木马分析报告

时间:2017年 12月 23日   作者:腾讯反病毒实验室

0x1 概况

腾讯安全御见情报中心预警:一款带内网渗透功能的木马近日较为活跃, 该木马会释放端口扫描器及“永恒之蓝”等工具,并利用“永恒之蓝”工具感染内网中尚未修复MS17-010漏洞的机器,进而展开远程桌面、键盘记录、后门、挖矿等木马行为。

MS17-010漏洞:操作系统的网络共享组件漏洞,当用户开启网络共享服务而又未安装相关的安全补丁时, 黑客只要发送一个精心构造的数据包,就能触发漏洞。

永恒之蓝:Eternalblue.exeMS17-010漏洞利用工具。使用此工具不法分子无需构造特制数据包,即可将木马程序植入尚未修复MS17-010漏洞的机器。

0x2 木马行为分析

1. svahost行为分析

svahost为易语言编写,关键代码部分加了变形。此文件运行后会释放端口扫描工具、“永恒之蓝”工具、payload dll,其后会利用端口扫描工具,扫描局域网中开放445端口的机器,再利用“永恒之蓝”工具将paload x86.dll(或x64.dll)注入局域网内尚未修复MS17-010漏洞的机器。

2. payload x86.dll行为分析

X86.dll和x64.dll功能相同,一个是32位版本,一个是64位版本,两者主要作用是下载木马并运行木马。

x86.dllpdb路径发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb”,在网上通过关键字“ZombieBoy”进行查找,发现了一款漏洞利用工具,推测此工具经过改造后用于传播木马。

访问hxxp://call.ppxxmr.org:344,可发现服务上所有木马文件,通过6.dll和NetSyst96.dll的文件修改时间可以看出该木马最早于2015年开始活动。

3. payload下载下来的123.exe行为分析

pe文件主要作用是下载并执行其它的木马文件,并释放和运行888.exe。

4. 888.exe行为分析

pe文件的主要作用是将自身安装为服务,服务名称为svshostr。以服务身份运行后会释放和运行挖矿程序cmd.exe,pe中关键明文字符串被加密。

5. cmd.exe行为

pe其实是开源的挖矿程序xmrig,通过网上查找发现了此挖矿机代码的开源地址https://github.com/xmrig/xmrig 。

6. 下载下来的1.exe和2.exe行为分析

这两个pe文件,功能相同,都是从木马服务器下载加密的pe文件6.dll或NetSys96.dll,解密后再自加载到内存,调用导出函数“DllFuUpgradrs”。

7. 木马文件6.dll行为分析

木马的远程桌面、键盘记录器、后门等功能都在此dll中,dns.ppxxmr.org为木马服务器通信地址,目前已经失效。

0x3 安全建议

腾讯电脑管家建议用户切勿强制运行安全软件提示危险的文件,同时谨慎下载和运行来历不明的程序。使用电脑管家及时修复系统漏洞,可有效免疫漏洞攻击。

相关热点分析