一、概述
腾讯安全威胁情报中心检测到DT下载器木马最新变种正通过软件下载站和其他软件推广渠道传播,检测数据表明,其最新变种在短短数日之内已感染超20万台电脑。腾讯安全专家建议用户下载软件时,尽量通过软件官方网站,或通过安全软件的软件管理功能下载,避免在不知名网站下载而感染病毒。
图1 被植入DT下载器木马的安装包
图2 腾讯安全检测到DT下载器er感染量一日爆增
DT下载器木马通过安装随机名服务模块,从木马C2服务器(xz.8dashi.com)获取配置指令,进而达到持久化驻留。木马通过云端指令静默下载、安装大量用户不需要的软件,篡改浏览器导航页、在收藏夹添加推广链接等方式盈利,该木马具备继续通过后门投递其它恶意载荷的能力。腾讯电脑管家及腾讯T-Sec零信任无边界访问控制系统(iOA)、腾讯御点均可查杀该病毒。
图3 腾讯电脑管家查杀DT下载器木马
二、样本详细分析
随机名服务模块
通过下载站,软件推广渠道下载安装某些软件后,系统会被植入DT下载器er后门服务后,通过连接C2服务器获取配置指令,进一步解析将恶意模块下载到本地执行。该配置变化十分迅速,文件名随机变动,分析员根据当前配置发现以下两个模块被下载执行。
hxxp://xz.8dashi.com/qd/MasterSetf.exe
hxxp://xz.8dashi.com/qd/MakeFunSet.exe
图4
图5
配置文件名变化频繁,推广内容也变化频繁(1日内多次变化)
图6
图7
MasterSetf.exe(静默推装)
该模块会静默推广各渠道软件安装包,推广的软件包括浏览器、输入法、PDF阅读器、看图软件、压缩软件等多种网民厌恶的全家桶套装。
图8
图9
MakefunSet.exe主页篡改程序
MakefunSet则是一个浏览器主页修改相关的包程序,该程序运行后会首先检查系统是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续篡改浏览器主页等逻辑。否则进一步通过从云端两次拉取加密文件包,解密解压缩后在内存中执行DLL恶意代码。进而修改感染病毒机器内的浏览器主页、收藏等设置。
PDB信息显示与duote有关:
图10
安装包运行后,从进程列表观察到大量不请自来的软件被安装。
图11
运行后会首先避开安全软件进程,安全软件进程字串使用循环异或1-5的方式动态解密后再使用,规避:
图12
规避安全软件列表信息:
图13
后续该模块从hxxp://down.1230578.com/RlConfig.7z处下载恶意载荷,解密解压后内存装载执行。
图14
第一次解密出的压缩包,将名为RLMakePage.dll的模块在内存中展开执行
图15
图16
后续将执行RlMakePage.Dll模块导出函数plugin_lock内代码,执行后会进一步再次从
hxxp://down.1230578.com/SetFunVec.7z下载恶意payload
图17
第二次解密出压缩包,名为SetFunVec.dll的模块将在内存中展开执行
图18
图19
Mem_SetFunVec.dll(浏览器篡改模块)
SetFunVec.dll提供了各浏览器的修改接口,通过修改注册表信息,修改浏览器配置信息,修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页、收藏夹、启动快捷方式进行篡改的目的。
图20
图21
如下图所示,感染病毒后主页被修改到推广位置,同时收藏夹增加了算命、购物、游戏、搜索链接等链接。
图22
IOCs
URL:
hxxp://xz.8dashi.com/qd/MasterSetf.exe
hxxp://xz.8dashi.com/qd/MakeFunSet.exe
hxxp://xz.dashi88.com/Blok.ini
hxxp://down.1230578.com/SetFunVec.7z
hxxp://down.1230578.com/RlConfig.7z
MD5:
497b40104fbaba971b088bab640e3e50
6bbedc7b361f274c5ce3c3e6391eede5
7d08cedba78794259c9678d305d9c5e6
3079dab5cff504a75b6a2641e5f43de8
c9019c409f7c099427948c55e613936b
f596fe2ac98f6a3e4d3797c65c5e0a9b
f99246c3c1b01f43eb079791fc33f3581
45ada7a93ae833e2ba3ee655f0d2650a
b63237fa0a88796f870e42a7e7dda3f0
70e743ea2d613ce7656593fcf081c5f7
51427a205aa7f658b5bf2210978285a9
6f2b143e0970c5988caa1379e244ec2b
7b9a54f429361ae82f54565673a191ff
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课