溯源分析
如前文所述,我们通过火绒终端威胁情报系统发现,带有该后门病毒的游戏微端安装包并不只有《传奇世界》。在火绒对大多数主流下载站进行排查之后,我们发现 “下载吧”和“电脑之家”下载站现今所提供的高速下载器会推广该病毒安装包。如下图所示:
▲推广列表
如上图,虽然病毒安装包释放的动态库名称不尽相同,但是调用参数与前文所述tdzs.dll完全相同,且代码逻辑也完全相同。这些病毒安装包的下载地址都来自于域名“hxxp://cdn.xunshark.cn”,且这些病毒安装包与前文提到的病毒安装包(cqsj_Y_905908_feitian.exe)签名同为“北京迅XXX有限公司”签名。如下图所示:
▲安装包签名信息
安装包所释放病毒动态库签名信息也同为“北京迅XXX有限公司”,如下图所示:
▲病毒动态库文件签名信息
该组病毒文件中,up_zlib1.dll的签名信息还涉及另一家公司“北京神州XXXXXX有限公司”。签名信息,如下图所示:
▲up_zlib1.dll签名信息
通过搜索该公司的知识产权信息,我们找到另一款同样带有该模块的软件。如下图所示:
▲软件著作权信息
在下载柠檬输入法软件安装后,我们也发现了具有相同数据和代码逻辑的“zlib1.dll”。如下图所示:
▲软件下载
对”up_zlib1.dll”和柠檬输入法中的“zlib1.dll”动态库脱壳后,可见同源性代码及数据,如下图所示:
▲代码同源性
▲数据同源性
附录
文中涉及样本SHA256:
文中样本所所涉及的域名及IP地址: