远控木马上演白利用偷天神技：揭秘假破解工具背后的盗刷暗流

如今，不少人为了省钱，会尝试各种免费的方法获取网盘或视频播放器的会员权限，网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过，这些“神器”既不靠谱更不安全，因为它们已经被木马盯上了。
近日，360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目，木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息，还足足利用了三层白利用才完成安装。最为精妙的是，其中一层白利用中，木马利用了BlueSoleil（一款蓝牙软件）的安装程序，直接修改配置文件（setup.ini）便实现了对白程序的劫持，让正规软件的安装程序转眼变成木马安装的温床。
远控木马入侵后，会趁中招者不注意安装Teamviewer等远程工具，进一步伺机窃取中招者的网银及游戏账号，实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示，该木马自7月11日集中爆发以来一直阴魂不散，更出现过多次小规模反弹，未来不排除利欲熏心的不法分子持续作案的可能。
下面以“迅雷9.1尊贵破解版”为例进行简要分析：
 

图1
文件相关性如下图所示：

 
图2
安装过程：
绿化.exe:将Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行：
通过比对迅雷官方文件发现官网包里并没这个文件。

 
XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目，同时还执行了SDK目录下的AssistantTools.cmd。

 
 而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序，它会通过setup.ini的配置，安装软件。这个程序被木马利用，成为了木马的安装器。
setup.ini中的内容：

 
Setup.ini中，执行的lobaby.pif实际是NirCmd，它是一套功能齐全的命令行工具，被攻击者用来执行木马安装，而执行的指令存储在2345Picture.log中。
2345Picture.log中内容为一段批处理：

 

 
head+tale为完整的木马PE


 
QMDL.exe文件是一个被木马利用的正常程序，会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。

图10

 

 
QMcommon.dll 利用zc.inf文件写启动项：
会将一段类似安装驱动的inf（主要用于添加QMDL.exe到启动项）写入到c:windowsTempzc.inf里，并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向：

 
创建zc.inf:

 
写入Zc.inf文件中的内容如下：