一、輪廓

克日，騰訊反病毒嘗試室攔截到一個惡意推廣木馬大范疇流傳，總流傳量上百萬，經闡明和排查發明該木馬具有以下特征：

1）該木馬是通過網頁掛馬的方法流傳的，經闡明黑客用來掛馬的裂痕是前段時間Hacking Team事件爆出的flash裂痕CVE-2015-5122。新版本的Flash Player已經修復了該裂痕，可是海內仍有大量的電腦未舉辦更新，給該木馬的流傳締造了條件。

2）經闡明和追蹤，發明掛馬的主體是一個告白flash，大量存在于博彩類網站、色情類網站、外掛私服類網站、中小型下載站等，以及部門混混軟件的彈窗中，影響遍及。

3）掛馬的裂痕影響Windows、MacOSX和Linux平臺上的IE、Chrome欣賞器等主流欣賞器。經測試，在未打補丁電腦上均可觸發掛馬行為，海內主流欣賞器均未能對其舉辦有效攔截和提醒。

4）木馬更新變種速度快，平均2-3小時改換一個新變種，以此逃避安詳軟件的檢測，同時可低落單個文件的廣度，逃過安詳軟件的廣度監控。

5）該木馬主要成果是靜默安裝多款混混軟件，部門被安裝的混混軟件具有向安卓手機靜默安裝應用的成果，危害嚴重。同時該木馬還玩起“黑吃黑”——可以或許排除已在本機安裝的常見的其它混混軟件，到達獨有電腦的目標。

圖1. Flash 裂痕掛馬示意圖

二、掛馬網站闡明

經闡明和追蹤，華沙機房主機 荷蘭主機，發明掛馬的主體是一個告白flash，當會見到掛馬網站時，該flash文件會被自動下載并播放，從而觸發裂痕導致傳染木馬。如圖2所示。

圖2. 被掛馬的網站之一

圖3所示為帶木馬的Flash文件，有趣的是假如當前電腦flash已經打補丁，則顯示正常的告白，假如flash未打相應補丁則會觸發裂痕，在欣賞器歷程內執行ShellCode。

圖3. 掛馬的flash文件

通過反編譯flash文件可以發明，該flash是在Hacking Team泄漏代碼的基本上修改而來的，該flash利用doswf做了加密和夾雜，以增加安詳人員闡明難度。如圖4所示為掛馬flash代碼。

圖4. 掛馬的flash文件反編譯代碼

裂痕觸發后，直接在欣賞器歷程中執行ShellCode代碼，該ShellCode的成果是下載hxxp://222.186.10.210:8861/calc.exe到當地，存放到欣賞器當前目次下，文件名為explorer.exe并執行。

圖5. ShellCode經夾雜加密，其主要成果是下載執行

Explorer.exe為了逃避殺軟的查殺，其更新速度很是塊，平均2-3小時更新變種一次，其變種除了修改代碼以逃避特征外，其圖標也常常變換，以下是收集到的explorer.exe文件的部門圖標，可以發明主要是利用一些知名軟件的圖標舉辦偽裝。

圖6. 木馬利用的偽裝圖標列表

該木馬流傳量龐大，為了防備樣本廣渡過高被安詳廠商發明，變種速度飛快，該木馬10月中旬開始流傳，停止今朝總流傳量上萬的變種MD5統計如下：

圖7.  停止今朝總流傳量上萬的變種MD5列表

三、木馬行為闡明

木馬運行后會通過檢測判定是否存在c:okokkk.txt文件，假如存在則暗示已經傳染過不再傳染，木馬退出，假如不存在則建設該文件，然后建設兩個線程，別離用于安裝推廣混混軟件和清理非本身推廣的混混軟件等。