一、輪廓

克日，騰訊反病毒嘗試室攔截到一個(gè)惡意推廣木馬大范疇流傳，總流傳量上百萬(wàn)，經(jīng)闡明和排查發(fā)明該木馬具有以下特征：

1）該木馬是通過(guò)網(wǎng)頁(yè)掛馬的方法流傳的，經(jīng)闡明黑客用來(lái)掛馬的裂痕是前段時(shí)間Hacking Team事件爆出的flash裂痕CVE-2015-5122。新版本的Flash Player已經(jīng)修復(fù)了該裂痕，可是海內(nèi)仍有大量的電腦未舉辦更新，給該木馬的流傳締造了條件。

2）經(jīng)闡明和追蹤，發(fā)明掛馬的主體是一個(gè)告白flash，大量存在于博彩類(lèi)網(wǎng)站、色情類(lèi)網(wǎng)站、外掛私服類(lèi)網(wǎng)站、中小型下載站等，以及部門(mén)混混軟件的彈窗中，影響遍及。

3）掛馬的裂痕影響Windows、MacOSX和Linux平臺(tái)上的IE、Chrome欣賞器等主流欣賞器。經(jīng)測(cè)試，在未打補(bǔ)丁電腦上均可觸發(fā)掛馬行為，海內(nèi)主流欣賞器均未能對(duì)其舉辦有效攔截和提醒。

4）木馬更新變種速度快，平均2-3小時(shí)改換一個(gè)新變種，以此逃避安詳軟件的檢測(cè)，同時(shí)可低落單個(gè)文件的廣度，逃過(guò)安詳軟件的廣度監(jiān)控。

5）該木馬主要成果是靜默安裝多款混混軟件，部門(mén)被安裝的混混軟件具有向安卓手機(jī)靜默安裝應(yīng)用的成果，危害嚴(yán)重。同時(shí)該木馬還玩起“黑吃黑”——可以或許排除已在本機(jī)安裝的常見(jiàn)的其它混混軟件，到達(dá)獨(dú)有電腦的目標(biāo)。

圖1. Flash 裂痕掛馬示意圖

二、掛馬網(wǎng)站闡明

經(jīng)闡明和追蹤，華沙機(jī)房主機(jī) 荷蘭主機(jī)，發(fā)明掛馬的主體是一個(gè)告白flash，當(dāng)會(huì)見(jiàn)到掛馬網(wǎng)站時(shí)，該flash文件會(huì)被自動(dòng)下載并播放，從而觸發(fā)裂痕導(dǎo)致傳染木馬。如圖2所示。

圖2. 被掛馬的網(wǎng)站之一

圖3所示為帶木馬的Flash文件，有趣的是假如當(dāng)前電腦flash已經(jīng)打補(bǔ)丁，則顯示正常的告白，假如flash未打相應(yīng)補(bǔ)丁則會(huì)觸發(fā)裂痕，在欣賞器歷程內(nèi)執(zhí)行ShellCode。

圖3. 掛馬的flash文件

通過(guò)反編譯flash文件可以發(fā)明，該flash是在Hacking Team泄漏代碼的基本上修改而來(lái)的，該flash利用doswf做了加密和夾雜，以增加安詳人員闡明難度。如圖4所示為掛馬flash代碼。

圖4. 掛馬的flash文件反編譯代碼

裂痕觸發(fā)后，直接在欣賞器歷程中執(zhí)行ShellCode代碼，該ShellCode的成果是下載hxxp://222.186.10.210:8861/calc.exe到當(dāng)?shù)兀娣诺叫蕾p器當(dāng)前目次下，文件名為explorer.exe并執(zhí)行。

圖5. ShellCode經(jīng)夾雜加密，其主要成果是下載執(zhí)行

Explorer.exe為了逃避殺軟的查殺，其更新速度很是塊，平均2-3小時(shí)更新變種一次，其變種除了修改代碼以逃避特征外，其圖標(biāo)也常常變換，以下是收集到的explorer.exe文件的部門(mén)圖標(biāo)，可以發(fā)明主要是利用一些知名軟件的圖標(biāo)舉辦偽裝。

圖6. 木馬利用的偽裝圖標(biāo)列表

該木馬流傳量龐大，為了防備樣本廣渡過(guò)高被安詳廠商發(fā)明，變種速度飛快，該木馬10月中旬開(kāi)始流傳，停止今朝總流傳量上萬(wàn)的變種MD5統(tǒng)計(jì)如下：

圖7.  停止今朝總流傳量上萬(wàn)的變種MD5列表

三、木馬行為闡明

木馬運(yùn)行后會(huì)通過(guò)檢測(cè)判定是否存在c:okokkk.txt文件，假如存在則暗示已經(jīng)傳染過(guò)不再傳染，木馬退出，假如不存在則建設(shè)該文件，然后建設(shè)兩個(gè)線程，別離用于安裝推廣混混軟件和清理非本身推廣的混混軟件等。