远控木马上演白利用偷天神技：揭秘假破解工具背后的盗刷暗流

如今，不少人为了省钱，会尝试各种免费的方法获取网盘或视频播放器的会员权限，网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过，这些“神器”既不靠谱更不安全，因为它们已经被木马盯上了。

近日，360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目，木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息，还足足利用了三层白利用才完成安装。最为精妙的是，其中一层白利用中，木马利用了BlueSoleil（一款蓝牙软件）的安装程序，直接修改配置文件（setup.ini）便实现了对白程序的劫持，让正规软件的安装程序转眼变成木马安装的温床。

远控木马入侵后，会趁中招者不注意安装Teamviewer等远程工具，进一步伺机窃取中招者的网银及游戏账号，实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示，该木马自7月11日集中爆发以来一直阴魂不散，更出现过多次小规模反弹，未来不排除利欲熏心的不法分子持续作案的可能。

下面以“迅雷9.1尊贵破解版”为例进行简要分析：

图1

文件相关性如下图所示：

图2

安装过程：

绿化.exe:将Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行：

通过比对迅雷官方文件发现官网包里并没这个文件。

XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目，同时还执行了SDK目录下的AssistantTools.cmd。

而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序，它会通过setup.ini的配置，安装软件。这个程序被木马利用，成为了木马的安装器。

setup.ini中的内容：

Setup.ini中，执行的lobaby.pif实际是NirCmd，它是一套功能齐全的命令行工具，被攻击者用来执行木马安装，而执行的指令存储在2345Picture.log中。

2345Picture.log中内容为一段批处理：

head+tale为完整的木马PE

QMDL.exe文件是一个被木马利用的正常程序，会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。

图10

QMcommon.dll 利用zc.inf文件写启动项：

会将一段类似安装驱动的inf（主要用于添加QMDL.exe到启动项）写入到c:windowsTempzc.inf里，并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向：

创建zc.inf:

写入Zc.inf文件中的内容如下：

QMcommon.dll：还会加载解密gif.txt内存执行

到此为止，木马完成了安装。

危害：

加载解密gif.txt内存执行之后是一个远程控制程序，其CC服务器为：hayden.vancleefarpelspro.com

测试时连接到的是一个广东佛山顺德区的一个ADSL IP：219.128.79.36

![揭秘假破解工具背后的盗刷暗流](http://image.3001.net/images/20170817/15029643418926.png!small)

我们回头再看安装的所谓迅雷尊贵破解版，并没有实现什么功能上的破解，使用会员功能仍然需要充值。

顺便还看到了被打包迅雷之前的下载列表，满满的加壳工具！

回到这款远控，黑客在用户离开机器时，远程安装Teamviewer等远程工具，并在受害人完全不知情的情况下通过记住密码的旺旺登录淘宝、支付宝，进行购买礼品卡或转帐等操作。

根据360的观察，该木马从7月11日开始集中爆发，在7月14日达到3500次的传播量。后在8月初的时候又出现了一波小的反弹，之后的传播则逐渐下降。

与之对应的域名访问趋势也是类似：

360安全卫士早已防御查杀该远控木马，在此建议广大网民，想获取VIP权限，还是通过正规渠道进行办理。如果想使用破解工具，也一定要在安全软件的保护下运行，一旦安全软件进行风险预警，切勿抱有侥幸心理继续安装运行。