“看美女”等软件暗藏后门 疯狂扒取阿里、微信注册企业信息

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

11月14日,雷锋网从火绒安全团队获悉,一款名为“258集团”旗下的多款软件携带后门病毒“Backdoor/Jspider”。该病毒会将被感染电脑当作“肉鸡”,用来扒取阿里巴巴、微信等平台上的企业相关信息,同时在搜索引擎上刷排名。

据分析,后门病毒“Backdoor/Jspider”通过“榴莲抢票王”、“看美女”、“258安全卫士”等258集团旗下多款软件进行传播,用户电脑一旦安装上述软件,即会被病毒感染,即使卸载这些软件,病毒依然留在电脑中作恶。

用户电脑沦为“肉鸡”后,会接收远程指令,去访问阿里巴巴(www.1688.com)、清博大数据(www.gsdata.cn)和各大搜索引擎(百度、360、搜狗和中搜),不光扒取阿里巴巴的企业注册信息和交易内容(如贸易共需求信息等),还扒取微信公众号里的各个企业信息,并在搜索引擎上为一些企业和产品刷排名。

上述操控“肉鸡”的种种行为,会大量占用被感染电脑的CPU资源,产生电脑变慢、发热等现象。

安全人员溯源后发现,此病毒早在2014年便已出现。该病毒制作者极为谨慎,当检测到电脑中存在“360安全卫士”和“腾讯电脑管家”时,该病毒将不会下载安装。

 样本分析

多款安装包签名信息为“厦门书生天下软件开发有限公司”的软件会在用户不知情的情况下,下载执行远程服务器请求到的二进制文件及一组JavaScript脚本,该组程序用于爬取企业信息及给定的关键字相关数据(爬取对象包括阿里巴巴1688.com、清博大数据gsdata.cn、百度搜索、360搜索、搜狗搜索和中国搜索)。

不仅如此,在卸载软件后,该组程序依然会常驻于用户计算机中,消耗CPU计算能力,与利用用户电脑挖取比特币的后门病毒本质相同。当同时执行的计算任务较多时,甚至会影响用户对电脑的正常使用。因此,该组程序被定性为后门病毒。以软件“看美女”为例,如下图所示:

  “看美女”等软件暗藏后门  疯狂扒取阿里、微信注册企业信息

 ▲病毒执行进程树

  “看美女”等软件暗藏后门  疯狂扒取阿里、微信注册企业信息

▲CPU占用情况

该组病毒最主要的两个模块,一个模块名字通常为“*Loader.exe”(*代表任意字符,如上图中为MeinvSearcherLoader.exe,下文中简称为Loader模块),另一个模块通常为“*Service.exe”(下文中简称为Service模块)。Loader模块为该组恶意软件的启动器,如果环境中不存在该组病毒的其他组件,该程序可以从远程C&C服务器请求病毒的其他组件至本地进行部署。Service模块则为PhantomJS无界面浏览器,通过调用Domino.js可以从远程C&C服务器获取任务脚本加载到Service中进行执行。

该组恶意程序执行流程,如下图所示:

  “看美女”等软件暗藏后门  疯狂扒取阿里、微信注册企业信息

▲恶意代码执行流程

恶意软件的关键逻辑如上图所示,安装包首先会释放出“看美女”软件主程序“kanmeinv.exe”,再由主程序从远程C&C服务器下载Loader模块到本地对该组恶意软件进行部署执行。Loader运行后先会将自身注册自启动,之后下载nssm.exe、node.exe、一组脚本(包括Bootstrap.js、Domino.js、其代码中使用的JavaScript库模块)及其配置文件。node.exe为NodeJS主程序。nssm.exe为服务管理程序,Loader通过调用nssm.exe将node.exe调用Bootstrap.js脚本的命令行加入到nssm.exe的启动列表中,开机后Bootstrap.js脚本就会被调用执行。Bootstrap.js逻辑主要用于监控Loader和Service进程状态,如果进程不存在则会进行创建。Loader进程启动后,会使用Service调用Domino.js执行远程C&C服务器派发的任务。

溯源分析

带有该组病毒的软件安装包有“看美女”、“榴莲抢票王”和“258商务卫士”。相关安装包文件信息,如下图所示:

  “看美女”等软件暗藏后门  疯狂扒取阿里、微信注册企业信息

▲安装包文件信息

上述软件签名时间最早的258商务卫士可追溯至2014年,在最新版的258商务卫士中主程序中也存在与前文所述病毒相关的数据。

 附录

文中涉及样本SHA256:

 

本文来自火绒安全团队的投稿,重要的事情说三遍,转载请标明来自雷锋网、雷锋网 (公众号:雷锋网) 、雷锋网。

“看美女”等软件暗藏后门  疯狂扒取阿里、微信注册企业信息

随意打赏

阿里 美女阿里扒扒阿里巴巴
提交建议
微信扫一扫,分享给好友吧。