一、輪廓

克日，騰訊反病毒嘗試室攔截到一個惡意推廣木馬大范疇流傳，總流傳量上百萬，經(jīng)闡明和排查發(fā)明該木馬具有以下特征：

1）該木馬是通過網(wǎng)頁掛馬的方法流傳的，經(jīng)闡明黑客用來掛馬的裂痕是前段時間Hacking Team事件爆出的flash裂痕CVE-2015-5122。新版本的Flash Player已經(jīng)修復(fù)了該裂痕，可是海內(nèi)仍有大量的電腦未舉辦更新，給該木馬的流傳締造了條件。

2）經(jīng)闡明和追蹤，發(fā)明掛馬的主體是一個告白flash，大量存在于博彩類網(wǎng)站、色情類網(wǎng)站、外掛私服類網(wǎng)站、中小型下載站等，以及部門混混軟件的彈窗中，影響遍及。

3）掛馬的裂痕影響Windows、MacOSX和Linux平臺上的IE、Chrome欣賞器等主流欣賞器。經(jīng)測試，在未打補丁電腦上均可觸發(fā)掛馬行為，海內(nèi)主流欣賞器均未能對其舉辦有效攔截和提醒。

4）木馬更新變種速度快，平均2-3小時改換一個新變種，以此逃避安詳軟件的檢測，同時可低落單個文件的廣度，逃過安詳軟件的廣度監(jiān)控。

5）該木馬主要成果是靜默安裝多款混混軟件，部門被安裝的混混軟件具有向安卓手機靜默安裝應(yīng)用的成果，危害嚴重。同時該木馬還玩起“黑吃黑”——可以或許排除已在本機安裝的常見的其它混混軟件，到達獨有電腦的目標。

圖1. Flash 裂痕掛馬示意圖

二、掛馬網(wǎng)站闡明

經(jīng)闡明和追蹤，華沙機房主機 荷蘭主機，發(fā)明掛馬的主體是一個告白flash，當會見到掛馬網(wǎng)站時，該flash文件會被自動下載并播放，從而觸發(fā)裂痕導(dǎo)致傳染木馬。如圖2所示。

圖2. 被掛馬的網(wǎng)站之一

圖3所示為帶木馬的Flash文件，有趣的是假如當前電腦flash已經(jīng)打補丁，則顯示正常的告白，假如flash未打相應(yīng)補丁則會觸發(fā)裂痕，在欣賞器歷程內(nèi)執(zhí)行ShellCode。

圖3. 掛馬的flash文件

通過反編譯flash文件可以發(fā)明，該flash是在Hacking Team泄漏代碼的基本上修改而來的，該flash利用doswf做了加密和夾雜，以增加安詳人員闡明難度。如圖4所示為掛馬flash代碼。

圖4. 掛馬的flash文件反編譯代碼

裂痕觸發(fā)后，直接在欣賞器歷程中執(zhí)行ShellCode代碼，該ShellCode的成果是下載hxxp://222.186.10.210:8861/calc.exe到當?shù)?，存放到欣賞器當前目次下，文件名為explorer.exe并執(zhí)行。

圖5. ShellCode經(jīng)夾雜加密，其主要成果是下載執(zhí)行

Explorer.exe為了逃避殺軟的查殺，其更新速度很是塊，平均2-3小時更新變種一次，其變種除了修改代碼以逃避特征外，其圖標也常常變換，以下是收集到的explorer.exe文件的部門圖標，可以發(fā)明主要是利用一些知名軟件的圖標舉辦偽裝。

圖6. 木馬利用的偽裝圖標列表

該木馬流傳量龐大，為了防備樣本廣渡過高被安詳廠商發(fā)明，變種速度飛快，該木馬10月中旬開始流傳，停止今朝總流傳量上萬的變種MD5統(tǒng)計如下：

圖7.  停止今朝總流傳量上萬的變種MD5列表

三、木馬行為闡明

木馬運行后會通過檢測判定是否存在c:okokkk.txt文件，假如存在則暗示已經(jīng)傳染過不再傳染，木馬退出，假如不存在則建設(shè)該文件，然后建設(shè)兩個線程，別離用于安裝推廣混混軟件和清理非本身推廣的混混軟件等。