web freer

0×1 概况

自2009年比特币面世后，短短8年时间，虚拟币市场涌现出数十种基于区块链技术的虚拟币，催生了“炒币热”。虚拟币通过消耗计算机计算力来产生钱币，面对万亿市值的虚拟币市场，不少不法分子动起了坏心思，“前仆后继”地踏上不一样的挖矿之路。

近日，腾讯安全反病毒实验室监测到一异常流量，通过分析发现是一款名为”Webfreer”的翻墙浏览器存在猫腻。该浏览器在用户不知情的情况下，悄悄启动挖矿程序进行挖矿（主要是比特币和门罗币），使中毒机器变得异常卡慢，出现网速变慢等症状。Webfreer浏览器通过官网（www.webfreer.com）、软件下载站和社交渠道进行传播，目前已有数万个用户受影响，且挖矿涉及金额高达百万人民币！

0×2 样本分析

Webfreer是一款基于chromium开源项目进行开发的浏览器，不法分子通过插入恶意代码，然后重新编译生成木马程序。由于开源项目的原因，该类木马程序容易被杀毒软件判白。此外，Webfreer作为一款翻墙浏览器，内置VPN代理，正常网络流量和恶意流量交叉混合，使得该木马隐藏性极高。

(VT查杀—几乎没有引擎报毒)

Webfreer最早的版本没有后门，但在后期升级版本中，开始插入了恶意代码，插入的恶意代码比较简单，没有云控，主程序启动后，挖矿程序随之起来。

下面对安装包进行解压，对比各个版本的文件，红框表示是木马样本。

挖矿执行流程图：

1、Webfreer 1.1.1.1分析：

病毒样本：

chrome.dll：浏览器主dll模块，会拉起webproxy.exe

webproxy.exe：挖矿程序

1） 安装时，会创建自启动项，开机时启动主程序Webfreer.exe。

2） Webfreer.exe启动时，会加载chrome.dll。

3） chrome.dll主线程会创建一个定时器，目的是不断地拉起挖矿进程。

4） 检测是否存在”WebClientService”服务，保证只有一个挖矿实例，因为在其它版本中，挖矿程序是会创建一个名为”WebClientService”服务进行挖矿，后面会有涉及。

5） 创建webproxy进程开始挖矿，挖矿使用stratum挖矿协议，传入挖矿参数，如矿池、钱包信息等。

挖矿参数：

调用CreateProcess创建进程：

2、Webfreer 1.3.2.0分析：

病毒样本：

WebClientService.exe：服务程序，开机启动，拉起webproxy.exe

webproxy.exe：挖矿程序

1） 安装时，会在system32目录释放WebClientService.exe和webproxy.exe。

2） 安装完成后，安装包程序会启动WebClientService.exe进程。

3） WebClientService注册一个服务，开机自启动。

4） 调用CreateEvent创建事件，保证只有一个实例在运行。

5） 访问google网站来测试浏览器是否正常工作，如果无法访问，继续等待。

6） 在system32目录或Webfreer安装目录得到webproxy.exe的路径，调用CreateProcess创建进程，开始挖矿。

7） 同时起一条线程，不断检测webproxy.exe进程是已经退出，如果退出了，再次拉起webproxy。

0×3 溯源分析

上述分析得到两个地址。

1、比特币钱包地址：113vvkxZvZHuou7jGwTrDHa4EY7XUKBHbt

这个钱包总接收近50个比特币，以当前的比特币单价算，总值达到100多万人民币！

2、门罗币钱包地址：478WNYwHN4SQs8j89P8QJY4DKm2c6JhCQizi5ucjooKuFQirbtEsafJinSXLwZcysnN1L98r2vocKjGjKoXRrEiRGpmyErc

这个钱包共有12个门罗币，以当前的门罗币单价算，总值达到6000元人民币。

3、通过溯源分析找到同源样本，如下，该样本伪装成shadowsocks翻墙软件，实际上纯粹是一个门罗币挖矿木马，推测作者可能偏爱在翻墙软件这个点上进行木马传播。

4、官网www.webfreer.com 服务器IP在加拿大，该公司号称：Appaxy Inc（未证实是否已注册）。对官网进行whois分析，得到注册名为：Mi**ke，通过注册名反查到一个qq号，叫米高x，可疑程度比较高。

0×4 结语

“炒币热”催生了挖矿黑色产业链，看似正常的翻墙浏览器也暗藏猫腻，让人防不胜防。在巨大的利益诱惑下，不法分子的手段穷出不尽，用户平时应注意提高防范意识，养成良好的上网习惯，使用腾讯电脑管家拦截并查杀木马病毒。

*本文作者：腾讯电脑管家，转载请注明来自 FreeBuf.COM