近期騰訊反病毒實驗室捕獲了一批針對性攻擊的高級木馬，該木馬使用近期熱門的時事話題做誘餌，對特殊人群做持續針對性攻擊，目前騰訊電腦管家已經能夠準確攔截和查殺該木馬。

圖 1. 騰訊反病毒實驗室攔截到的部分木馬文件壓縮包

木馬介紹

該木馬主要通過郵箱等社交網絡的方式對特定用戶進行針對性推送傳播，原始文件偽裝成常見的windows 軟件安裝程序，一旦用戶運行了該木馬文件，便會將包含 0day 漏洞的一個第三方軟件及相應的庫文件釋放到指定目錄中，同時釋放一個加密的數據文件到同一目錄下。將含有針對性0day 漏洞攻擊的命令行參數傳遞給該文件執行。隨后進行自毀操作，不留痕跡。

圖 2. 木馬安裝后將特定的第三方軟件文件釋放到磁盤指定目錄中

該木馬釋放出的所有 PE文件均為 9158多人視頻聊天軟件的模塊，具有很大的用戶群，文件有完整且正確的該公司的數字簽名信息。其中的science.exe 在解析命令行參數時存在緩沖區溢出漏洞，且編譯的時候未開啟 GS 等安全開關，觸發后能夠執行參數中攜帶的任意 Shellcode 惡意代碼。這也是木馬找到這個白文件漏洞來利用的原因，用戶群體大，漏洞非常方便利用。由于惡意代碼是在正常文件的內存中直接執行，同時在磁盤中駐留的文件均為正常軟件的白文件，因此此木馬繞過了幾乎所有安全防護軟件。騰訊電腦管家使用了云查引擎，第一時間發現并查殺該木馬，同時已經第一時間通知相關廠商修復該漏洞。

 圖3.9158多人視頻軟件安裝目錄，對比發現，木馬釋放的PE均在其中

木馬加載執行的詳細過程

1、首先釋放文件到指定目錄，共 5個文件，其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll均是9158多人聊天軟件的相關文件，Config.dat是一個加密的數據文件，t1.dat是一個配置文件。

2、帶參數運行 science.exe，其中參數共 0×2003 字節，隨后原始木馬文件進行自毀操作

圖 4. 使用含有惡意代碼的參數執行含有 0day 漏洞的文件

3、由于 science.exe對輸入的參數沒有檢查，當輸入的參數長度過長時，造成棧溢出

圖 5. 漏洞細節：由于軟件解析參數時沒有校驗長度，導致緩沖區溢出

圖6.漏洞利用細節：精心構造最后三字節數據精確定位跳轉執行ShellCode#p#

圖 7.ShellCode 的自解密算法

圖8. ShellCode的功能是讀取并解密Config.dat文件，直接在內存中加載執行

圖9.創建一個系統服務，服務對應的鏡像文件為science.exe，并帶有惡意參數

木馬通過創建服務來實現永久地駐留在用戶電腦中，實現長期地監控。完成服務創建后，即完成了木馬的安裝過程，為了隱蔽運行不被用戶發覺，木馬服務啟動后會以創建傀儡進程的方式注入到svchost.exe進程中，在該進程中連接C&C服務器，連接成功后黑客便可通過該木馬監視用戶桌面、竊取用戶任意文件、記錄用戶鍵盤輸入、竊取用戶密碼、打開攝像頭和麥克風進行監視監聽等。從而實現遠程控制目標計算機的目的。