当前位置:安全客 >> 知识详情

可感染iPhone的QQ群蠕虫“灵顿”深度分析

2015-02-07 14:15:13 阅读:33145次 收藏 来源: 360安全播报

2月7日凌晨,360互联网安全中心接到用户举报称,在QQ群下载的文件打开后会跳转到色情网站,被360安全卫士拦截查杀。经分析后发现,这是一种QQ群蠕虫病毒,360互联网安全中心将其命名为“灵顿”。灵顿会伪装成QQ群分享文件将用户引导至色情网站,之后诱骗网友在电脑上安装所谓的视频播放器。但实际上这个播放器不会播放任何内容,还会对受害者的设备进行区分,并推送不同的病毒软件,对Windows、Android和iOS系统进行无差别攻击。

该蠕虫借助QQ群传播,具有诱骗性,传播力强,不仅会感染PC,还会感染安卓手机甚至未越狱的iPhone和iPad。

以下是对灵顿QQ群蠕虫的详细分析:

样本文件原始包,包含一个带签名Open Source Developer, liujun的msi安装包和一个隐藏属性的cab数据包:

http://p4.qhimg.com/t0193a8d147f342e0a5.png

MSI安装包行为比较简单,解包和按顺序执行释放出的文件。

t01719dbe69c878f1be.png

Cab数据包中包含5个可执行文件

http://p0.qhimg.com/t018db86768b602f8fa.png

文件列表:

88b4f5bb5f8958dc7a8515a44d855f74  天使嫩女视频全集.msi

fb09248bec748995dad0ab712f4aa76f  Act.cab

063dd2b2ceff421e944446057a77fce9  u.exe

26280d19ade5fc068188bbbe42fab087  u

d50d238555c6b31562637d9287664c85  inst.exe

e882a6ae7619d1fca7ac6172d9c461f1  setup.zip

         298ac1f9c662bec50b60cd1d8b9615de  ziyt.scr

608c43d8cb56fb13f5fa20a1dd201ab8  亲情视频秀.exe

9e94b0902c9e8e665fc94a0b7c038230  leba99_setup_220041398.exe

安装过程:

1.       Msi安装程序解包Act.cab释放  安装程序inst.exe,安装包setup.zip , 证书文件u, 证书导入程序u.exe(微软的UPDROOTS)

2.       Msi安装包启动u.exe向系统导入证书u

3.       Msi启动安装程序inst.exe

4.       安装程序inst.exe解包setup.zip,释放推广程序“ziyt.scr”、QQ群蠕虫“亲情视频秀.exe”,以及被推广程序leba99_setup_220041398.exe(乐吧视频社区),并依次启动。

被导入的虚假VeriSign证书:

t01ec7c38c823cf2d0a.png

t01f03069380dc463b6.png

木马利用导入的证书,伪造Symantec的签名,保护自己不被杀毒软件查杀。

t01fbfa0195882b1fc0.png

安装程序inst.exe读取同目录下名为setup.zip的压缩包,解开并依次执行其中文件。

t01354ba68ef90f7224.png

被inst.exe启动的ziyt.scr是一个推广器程序,通过百度云,获取其推广列表:

t01c384a50942bef886.png

列表地址:http://bcs.duapp.com/sttupq/cp.txt

样本被捕获时,推广内容:

http://bcs.duapp.com/sttupq/cpca.zip

包括瑞星杀毒,桔子浏览器在内的7款软件通过这个木马推广:

t01fb01c620ce4429d2.png

之后依次执行推广包:

t017c093dbbd998890c.png

被inst.exe启动的“leba99_setup_220041398.exe”是一个乐吧视频社区的安装程序。

被inst.exe启动的“亲情视频秀.exe”是一个QQ群蠕虫。

通过腾讯的统一登录接口,获取当前计算机中登录的QQ号码的授权token:

t0140fb8b1028c6d066.png

之后通过获取到的这个token,计算出用来操作授权的skey

t01196b5efbd5d6b3ce.png

之后,利用计算出的key,就可以操作用户的QQ空间,QQ群,QQ邮箱,QQ钱包等几乎全部QQ相关的业务!

木马在查询用户Q币余额:

t01fe6fcd0a40f92ed1.png

通过sz789.net自动打码的方式识别验证码。

t0106fe0214cb9df365.png

查询用户QQ群情况:

t01cc2f843f8880af39.png

利用QQ群文件共享接口,再次传播木马

t013b4e7eca24a0d267.png

木马内置了68个上传使用的文件名,全部是色情和诱惑性的,因名称大都不堪入目,不在此罗列。

被捕获的同一家族的另一变种中也发现了大量上传用的名称,同样都是色情和诱惑性的名称。

上传的html文件会打开这么一个诱惑性的页面:

t017e4115cbdfe0f0d9.png

页面代码中,通过判断useragent的方式,区分了来访设备,如果是android(包括linux)设备或者ios设备会分别跳转到一个不同的下载页面:

t0182a3b87a521c7586.png

IOS端,会跳转到一个诱导页面,安装Beijing Yingmob公司签发的一款应用。

t018ec32fd15707ad9a.png

t018576f7640336a877.png

这款应用以色情视频为诱饵,诱导用户安装它的推广软件牟利:

t014fd349fb9f0a5876.png

t01f0ce812608b5927f.png

t01a55959b42f68d7a4.png

Android端会诱惑提示系统更新安装播放器组件,然后自动下载一些推广应用,非常恶劣。

t01f041ded6d9cdaeb5.png

t01b4425961301a52b3.png

木马传播者使用到的几个典型的域名:

hyyjty.com  ==> 118.193.222.176香港特别行政区 中国电信国际数据中心

3dme.com.cn

btgmsfx.com ==>118.99.31.207  香港特别行政区


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/234.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论