可感染iPhone的QQ群蠕虫“灵顿”深度分析
2月7日凌晨,360互联网安全中心接到用户举报称,在QQ群下载的文件打开后会跳转到色情网站,被360安全卫士拦截查杀。经分析后发现,这是一种QQ群蠕虫病毒,360互联网安全中心将其命名为“灵顿”。灵顿会伪装成QQ群分享文件将用户引导至色情网站,之后诱骗网友在电脑上安装所谓的视频播放器。但实际上这个播放器不会播放任何内容,还会对受害者的设备进行区分,并推送不同的病毒软件,对Windows、Android和iOS系统进行无差别攻击。
该蠕虫借助QQ群传播,具有诱骗性,传播力强,不仅会感染PC,还会感染安卓手机甚至未越狱的iPhone和iPad。
以下是对灵顿QQ群蠕虫的详细分析:
样本文件原始包,包含一个带签名Open Source Developer, liujun的msi安装包和一个隐藏属性的cab数据包:
MSI安装包行为比较简单,解包和按顺序执行释放出的文件。
Cab数据包中包含5个可执行文件
文件列表:
88b4f5bb5f8958dc7a8515a44d855f74 天使嫩女视频全集.msi
fb09248bec748995dad0ab712f4aa76f Act.cab
063dd2b2ceff421e944446057a77fce9 u.exe
26280d19ade5fc068188bbbe42fab087 u
d50d238555c6b31562637d9287664c85 inst.exe
e882a6ae7619d1fca7ac6172d9c461f1 setup.zip
298ac1f9c662bec50b60cd1d8b9615de ziyt.scr
608c43d8cb56fb13f5fa20a1dd201ab8 亲情视频秀.exe
9e94b0902c9e8e665fc94a0b7c038230 leba99_setup_220041398.exe
安装过程:
1. Msi安装程序解包Act.cab释放 安装程序inst.exe,安装包setup.zip , 证书文件u, 证书导入程序u.exe(微软的UPDROOTS)
2. Msi安装包启动u.exe向系统导入证书u
3. Msi启动安装程序inst.exe
4. 安装程序inst.exe解包setup.zip,释放推广程序“ziyt.scr”、QQ群蠕虫“亲情视频秀.exe”,以及被推广程序leba99_setup_220041398.exe(乐吧视频社区),并依次启动。
被导入的虚假VeriSign证书:
木马利用导入的证书,伪造Symantec的签名,保护自己不被杀毒软件查杀。
安装程序inst.exe读取同目录下名为setup.zip的压缩包,解开并依次执行其中文件。
被inst.exe启动的ziyt.scr是一个推广器程序,通过百度云,获取其推广列表:
列表地址:http://bcs.duapp.com/sttupq/cp.txt
样本被捕获时,推广内容:
http://bcs.duapp.com/sttupq/cpca.zip
包括瑞星杀毒,桔子浏览器在内的7款软件通过这个木马推广:
之后依次执行推广包:
被inst.exe启动的“leba99_setup_220041398.exe”是一个乐吧视频社区的安装程序。
被inst.exe启动的“亲情视频秀.exe”是一个QQ群蠕虫。
通过腾讯的统一登录接口,获取当前计算机中登录的QQ号码的授权token:
之后通过获取到的这个token,计算出用来操作授权的skey
之后,利用计算出的key,就可以操作用户的QQ空间,QQ群,QQ邮箱,QQ钱包等几乎全部QQ相关的业务!
木马在查询用户Q币余额:
通过sz789.net自动打码的方式识别验证码。
查询用户QQ群情况:
利用QQ群文件共享接口,再次传播木马
木马内置了68个上传使用的文件名,全部是色情和诱惑性的,因名称大都不堪入目,不在此罗列。
被捕获的同一家族的另一变种中也发现了大量上传用的名称,同样都是色情和诱惑性的名称。
上传的html文件会打开这么一个诱惑性的页面:
页面代码中,通过判断useragent的方式,区分了来访设备,如果是android(包括linux)设备或者ios设备会分别跳转到一个不同的下载页面:
IOS端,会跳转到一个诱导页面,安装Beijing Yingmob公司签发的一款应用。
这款应用以色情视频为诱饵,诱导用户安装它的推广软件牟利:
Android端会诱惑提示系统更新安装播放器组件,然后自动下载一些推广应用,非常恶劣。
木马传播者使用到的几个典型的域名:
hyyjty.com ==> 118.193.222.176香港特别行政区 中国电信国际数据中心
3dme.com.cn
btgmsfx.com ==>118.99.31.207 香港特别行政区
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/234.html