查看:4573
回复:2
DT下载器木马再次大肆传播,已感染超20万台电脑[复制链接]

2020-12-14 10:30:02 只看楼主 倒序浏览 电梯直达

【文章摘要】腾讯安全威胁情报中心检测到DT下载器木马最新变种正通过软件下载站和其他软件推广渠道传播,检测数据表明,其最新变种在短短数日之内已感染超20万台电脑。  
一、概述
    腾讯安全威胁情报中心检测到DT下载器木马最新变种正通过软件下载站和其他软件推广渠道传播,检测数据表明,其最新变种在短短数日之内已感染超20万台电脑。腾讯安全专家建议用户下载软件时,尽量通过软件官方网站,或通过安全软件的软件管理功能下载,避免在不知名网站下载而感染病毒。



被植入DT下载器木马的安装包


腾讯安全检测到DT下载器er感染量一日爆增

    DT下载器木马通过安装随机名服务模块,从木马C2服务器(xz.8dashi.com)获取配置指令,进而达到持久化驻留。木马通过云端指令静默下载、安装大量用户不需要的软件,篡改浏览器导航页、在收藏夹添加推广链接等方式盈利,该木马具备继续通过后门投递其它恶意载荷的能力。腾讯电脑管家及腾讯T-Sec零信任无边界访问控制系统(iOA)、腾讯御点均可查杀该病毒。

腾讯电脑管家查杀DT下载器木马


二、样本详细分析    随机名服务模块
    通过下载站,软件推广渠道下载安装某些软件后,系统会被植入DT下载器er后门服务后,通过连接C2服务器获取配置指令,进一步解析将恶意模块下载到本地执行。该配置变化十分迅速,文件名随机变动,分析员根据当前配置发现以下两个模块被下载执行。
    hxxp://xz.8dashi.com/qd/MasterSetf.exe
    hxxp://xz.8dashi.com/qd/MakeFunSet.exe






    配置文件名变化频繁,推广内容也变化频繁(1日内多次变化)



    MasterSetf.exe(静默推装)

    该模块会静默推广各渠道软件安装包,推广的软件包括浏览器、输入法、PDF阅读器、看图软件、压缩软件等多种网民厌恶的全家桶套装。






    MakefunSet.exe主页篡改程序
    MakefunSet则是一个浏览器主页修改相关的包程序,该程序运行后会首先检查系统是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续篡改浏览器主页等逻辑。否则进一步通过从云端两次拉取加密文件包,解密解压缩后在内存中执行DLL恶意代码。进而修改感染病毒机器内的浏览器主页、收藏等设置。
    PDB信息显示与duote有关:



    安装包运行后,从进程列表观察到大量不请自来的软件被安装。


    运行后会首先避开安全软件进程,安全软件进程字串使用循环异或1-5的方式动态解密后再使用,规避:



    规避安全软件列表信息:



    后续该模块从hxxp://down.1230578.com/RlConfig.7z处下载恶意载荷,解密解压后内存装载执行。


    第一次解密出的压缩包,将名为RLMakePage.dll的模块在内存中展开执行





    后续将执行RlMakePage.Dll模块导出函数plugin_lock内代码,执行后会进一步再次从

    hxxp://down.1230578.com/SetFunVec.7z下载恶意payload



    第二次解密出压缩包,名为SetFunVec.dll的模块将在内存中展开执行





    Mem_SetFunVec.dll(浏览器篡改模块)
    SetFunVec.dll提供了各浏览器的修改接口,通过修改注册表信息,修改浏览器配置信息,修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页、收藏夹、启动快捷方式进行篡改的目的。






    如下图所示,感染病毒后主页被修改到推广位置,同时收藏夹增加了算命、购物、游戏、搜索链接等链接。

    IOCs
    URL
    hxxp://xz.8dashi.com/qd/MasterSetf.exe
    hxxp://xz.8dashi.com/qd/MakeFunSet.exe
    hxxp://xz.dashi88.com/Blok.ini
    hxxp://down.1230578.com/SetFunVec.7z
    hxxp://down.1230578.com/RlConfig.7z
    MD5:
    497b40104fbaba971b088bab640e3e50
    6bbedc7b361f274c5ce3c3e6391eede5
    7d08cedba78794259c9678d305d9c5e6
    3079dab5cff504a75b6a2641e5f43de8
    c9019c409f7c099427948c55e613936b
    f596fe2ac98f6a3e4d3797c65c5e0a9b
    45ada7a93ae833e2ba3ee655f0d2650a
    b63237fa0a88796f870e42a7e7dda3f0
    70e743ea2d613ce7656593fcf081c5f7
    51427a205aa7f658b5bf2210978285a9
    6f2b143e0970c5988caa1379e244ec2b
    7b9a54f429361ae82f54565673a191ff
 本主题由 ε๑⍥๑з 于 2021-08-23 16:01:20 解除高亮
ε๑⍥๑з
版主
LV.4
主题66
回帖3
经验442
Z 币311
ε๑⍥๑з
版主
LV.4
主题 66
回帖 3
经验 442
Z 币 311
注册 2018-10-11
最近 2021-10-09
2 条回复
2021-02-25 10:43:52 沙发
求助!我的电脑中了疑似此病毒,现在C盘已经快被吃没了,但就是怎么都杀不出来,求救!
毛_867
LV.3
主题8
回帖13
经验71
Z 币46
毛_867
LV.3
主题 8
回帖 13
经验 71
Z 币 46
注册 2020-02-21
最近 2021-06-02
2021-03-01 17:23:27 板凳
怎么解决呢?大神们
木痴🚲⁶⁶⁶₆₆₆666
LV.2
主题2
回帖2
经验11
Z 币7
木痴🚲⁶⁶⁶₆₆₆666
LV.2
主题 2
回帖 2
经验 11
Z 币 7
注册 2021-03-01
最近 2021-03-01
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!