病毒分析网站

病毒分析网站
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
病毒分析 | 一款史上最流氓的QQ营销病毒 安全豹认证厂商2018-03-13现金奖励共336463人围观 ，发现 17 个不明物体 安全报告终端安全
一、前言
在“流量为王”的时代，流量从某种意义上来讲，就意味着金钱。一条依附在流量上的营销产业链条正暗流涌动，他们依靠社交软件这个平台，疯狂加好友、加群，来散播广告、色情、赌博等内容，从而获取流量。

近日，金山毒霸安全实验室发现新型QQ营销病毒，感染到终端的网民无法退出QQ群，也无法举报群，遇到了堪称史上最为流氓的QQ营销病毒。

据金山毒霸安全实验室统计，QQ营销病毒传播感染量高达约15W余台。感染用户电脑后会强行添加QQ好友、QQ群，邀请好友加群并自动发邮件给QQ营销号。加群后，群内管理员会散播淫秽、赌博、诈骗等违法信息。

二、样本分析
一款史上最流氓的QQ营销病毒

图1：木马传播流程图

1、木马母体分析:
0×1. 母体通过读取资源DT_CONFIG内容，初始化基础参数列表:

自动更新 是
渠道号 106
关闭拉群 否
开启调试输出日志 否
开启测试数据 否
云端后台分组ID 1
等待延迟执行时间 5分钟
0×2. 生成如下批处理文件，将文件拷贝到临时目录并以_temp_随机名 命名，然后删除自身

move”%s” “%s”

del/q “%s”

del/q “%s”

0×3. 为了保证能正常访问云端后台，作者备选了若干C2地址（如下列表），通过访问如sapi.zj3e.com/connect.txt是否可用，如果当前不存在任何可用后台，直接退出，接下来病毒去访问down.zj3e.com/fim/version.txt进行病毒模块检查更新(截至目前最新版本为1.0.70.41)

木马域名列表
sapi.zj3e.com
sapi.pj5z.com
sapi.wgqsy.com
sapi.cnhmb.com
sapi.bdbd8.com
sapi.pgzs3.com
sapi.xhwzs.com
sapi.97myj.com
sapi.airb2.com
一款史上最流氓的QQ营销病毒

图2：版本检测请求

0×4. 当更新完插件后,开始部署插件模块，病毒从自身的资源中读取DT_DLL 然后在temp目录下释放以security_随机名.dll 的文件。

一款史上最流氓的QQ营销病毒

图3：资源中内嵌PE文件

0×5. 释放完该释放的模块后，母体开始枚举窗口信息查找 TXGuiFoundation 窗口句柄，通过窗口句柄获取进程ID以远程线程的方式注入QQ。

一款史上最流氓的QQ营销病毒

图4：远程线程方式注入QQ

0×6. 将感染者的主机mac地址，渠道版本号，插件版本信息，构造成json格式的字符串。

以RC4 +BASE64的方式加密向远端C&C服务器（sapi.zj3e.com/m.php?encode=加密后的数据）发送终端计算机信息。

一款史上最流氓的QQ营销病毒

图5：上报终端信息

2、security_xxx.dll分析:
该病毒模块主要用于推广QQ好友，QQ群，发邮件给营销类QQ号，通常被推广的QQ号和QQ群多会涉及赌博、淫秽、诈骗、高利贷等内容，病毒为了让利益最大化会利用技术手段禁止用户举报和退群(受感染的终端环境)。禁止退群截图如下所示：

一款史上最流氓的QQ营销病毒

图6：禁止退群

病毒功能列表如下，我们2017.9月份捕获过类似的QQ营销病毒，并对此进行了分析，报告地址：

http://www.freebuf.com/column/148889.html,此篇报告将抽取与以往QQ营销病毒不一样的点进行功能分析

序号 功能
1 强制添加好友
2 自动添加营销群
3 QQ发邮件给营销号
4 禁止举报群
5 禁止退群
6 收集群好友信息
7 邀请他人进营销群
8 获取好友列表
1.自动加群和邀请其他好友加群:

通过云端获取到要加的营销QQ群和营销QQ号后，利用QQ快速登录获取到的当前用户uin、skey和token，登录https://qun.qq.com/member.html获取群数据，接下来请求https://qun.qq.com/cgi-bin/qun_mgr/get_friend_list获取感染者QQ好友列表， http://qun.qq.com/cgi-bin/qun_mgr/add_group_member发送添加群成员数据邀请QQ好友进群(图七)，并inline Hook了ShowWinow函数通窗口信息获取函数得到窗体信息，如果是“添加好友窗口”和“添加群窗口”,模拟点击完成自动添加(图九)

一款史上最流氓的QQ营销病毒

图7：邀请加群

一款史上最流氓的QQ营销病毒

图8: 邀请QQ好友进群

一款史上最流氓的QQ营销病毒

图9:模拟点击

10_副本.jpg

图10：博彩广告

2.禁止退群:

开发者通过逆向等技术手段得知禁止退群的导出函数，对Common.dll模块中的?oi_symmetry_encrypt2@@YAXPBEH0PAEPAH@Z函数进行inlineHook。

11.png

图11：禁止退群HOOK代码

3.禁止举报QQ群:

ShowWindow被inlineHook后判断是否为举报窗口并阻止用户举报。

一款史上最流氓的QQ营销病毒

图12：禁止举报群

三、产业分析
如下图所示，黑色产业链条从整体分工层次上看相对比较清晰，木马作者、分发传播、发布广告构成了黑色产业链的关键环节。

一款史上最流氓的QQ营销病毒

图13：黑色产业链环节流程图

一款史上最流氓的QQ营销病毒

从实际运作来看整个圈子又具有一定程度的复杂性，除了上述几个重要参与角色，每个产业链环节还会有一些其他黑产人员参与其中，比如说卖感染者QQ号码信息等，具有一定技术实力的团伙才是暴利所得者；可能会包揽整个链条的多个甚至是全部环节，其暴利收益自然也是最高的。

一款史上最流氓的QQ营销病毒

图14：黑产QQ群

四、作者溯源
作者在代码中用了若快打码平台(ruokuai.com)，根据留下来的线索，我们发现作者一共使用该平台打码了55W次。从打码平台的登陆IP信息来看，作者是河南新乡人，目前居住在四川，在2013年的时候已经开始学习盗号等技术。

15.png

图15：打码平台

充值纪录：

16.png

图16：充值记录

作者常用登陆IP地址为四川省：

17.png

图17：作者常用登陆IP地址

疑似作者早期已经开始接触盗号等技术：

一款史上最流氓的QQ营销病毒

图18：疑似作者在百度贴吧发贴

作者从2014年开始的登陆IP地址：

一款史上最流氓的QQ营销病毒

图19：2014年开始作者登陆IP地址

疑似作者的QQ 号：

一款史上最流氓的QQ营销病毒

图20：疑似作者QQ号

五、总结
本文从典型样本、黑产链条、追踪等多个方面对“QQ营销病毒”背后的黑色产业链进行了一些剖析总结，可以看出黑产的形成运作是一个复杂交错的产物。我们对它的了解可能还比较片面，其中的”隐秘内幕”也远超这篇文章所能揭露的。金山毒霸安全实验室建议用户做好以下防范措施：安装安全软件，可以有效对推广软件、后门程序、木马等进行全方位查杀，保护系统安全。养成良好上网习惯，不随意点击来历不明的网页链接，远离赌博、色情类网站。

*本文作者：渔村安全，转载请注明来自 FreeBuf.COM

安全豹
安全豹
32 篇文章
等级： 6级
||
上一篇：知名软件ADSafe暗藏恶意代码，从众多网站劫持流量下一篇：CNCERT 2017年我国联网智能设备安全情况报告
这些评论亮了

yunwei 回复
打码未彻底，图15 774537981
)23(亮了

河南新乡 回复
1、完全捏造。
2、已让律师处理。
)22(亮了

Aimorc 回复
金山不就是病毒吗
)12(亮了
发表评论已有 17 条评论

Dreamkiller (2级) . 2018-03-13回复 1楼
不得不说 ，这个哥们思路挺猥琐的

亮了(3)

余子肥 (1级) 2018-03-13回复 2楼
15W余万台?

亮了(1)

4nyw4y (2级) 0x80 2018-03-13回复 3楼
语文老师死的早，谁能给我解释一下【15W余万台】是多少台？

亮了(1)

NorthWind (1级) 2018-03-13回复
@ 4nyw4y 打错而已，何必纠结这点呢，你写的时候能保证也一字不错？将就看下就好了

亮了(0)

比尔盖饭 2018-03-13回复
@ 4nyw4y 头像不错

亮了(0)

yunwei 2018-03-13回复 4楼
打码未彻底，图15 774537981

亮了(23)

河南新乡 2018-03-13回复 5楼
1、完全捏造。

2、已让律师处理。

亮了(22)

安东伊万诺夫 (2级) 2018-03-13回复 6楼
快播 《=》某Q

亮了(0)

柠檬初上 (5级) 重剑无锋 大巧不工~！ 2018-03-13回复 7楼
我想知道 这些信息是怎么查到的

亮了(2)

Aimorc 2018-03-14回复 8楼
金山不就是病毒吗

亮了(12)

林00000 2018-03-14回复 9楼
我想说远程线程注入QQ这步能过？杀软没发现？还是这中招的15W台电脑是没装杀毒软件的？

亮了(0)

Mc.Q 2018-03-14回复
@ 林00000 可测！

亮了(0)

import (1级) 2018-03-14回复 10楼
换个电脑可以退群举报了不？

亮了(1)

Mc.Q 2018-03-14回复
@ import 可以! 仅限感染后的

亮了(0)

anghao (2级) 2018-03-15回复 11楼
咳咳 发现社工大佬 抓住

亮了(1)

抗生素1209 (2级) 2018-03-15回复 12楼
手机QQ有没有这毒

亮了(0)

O0ps 2018-03-22回复 13楼
最近也是经常 莫名其妙的被拉进群，各种营销群，福利群，不过过能退就是

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
安全豹
安全豹认证厂商

珠海猎豹团队官方账号

32
文章数
3
评论数
最近文章
投资理财的那些坑，你踩过几个？
2018.10.29

投资理财的那些坑，你踩过几个？
2018.10.22

回顾电信诈骗的前世今生
2018.10.19

浏览更多
相关阅读
QQ盗号木马黑色产业链追踪QQ定位女友是否回家系列二之定位系统的打造当“宿主”披上QQ盗号的外衣病毒分析 | 一款史上最流氓的QQ营销病毒QQ申诉那点事
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank