前言

在過完年開工之際，黑產(chǎn)從業(yè)者也回到了他們的工作崗位上，在短短的一周內(nèi)，相繼爆發(fā)了“縱情”敲詐者以及偽裝QQ飛車外掛的“MBR”敲詐者兩款國產(chǎn)敲詐者木馬。國產(chǎn)敲詐者在敲詐金額，技術(shù)手段以及加密方式上都遠遠落后于國外的敲詐者木馬，但國產(chǎn)敲詐者的最大優(yōu)點就是能把握住賣點，比如以游戲外掛作為噱頭。除此之外，國產(chǎn)敲詐者還喜歡誘導(dǎo)用戶關(guān)閉殺軟以達到所謂的“最佳體驗”?？梢哉f，國產(chǎn)敲詐者勝在了“套路”。

本文分析的國產(chǎn)敲詐者即為偽造QQ飛車外掛的“MBR”敲詐者。據(jù)受害者稱，想使用該QQ飛車外掛軟件就必須輸入注冊碼，在向某群管理員索取注冊碼并輸入注冊后，計算機立即并被鎖住，要求添加一QQ號（3489709452）獲取解鎖密碼。受害計算機如下圖所示。

圖1 受害計算機界面

可見，計算機并未正常啟動，受害者遭遇的就是常見的“MBR”鎖。

樣本分析

回到最初的QQ飛車外掛，外掛界面很常見，需要輸入注冊碼才能正常使用。

圖2 外掛界面

細觀該外掛界面，發(fā)現(xiàn)其和某盾加密處理后的程序界面相似，遍歷字符串也能發(fā)現(xiàn)一些與某盾加密相關(guān)的字符串。因此可以斷定該外掛軟件使用某盾加密保護，使用者只有輸入正確的注冊碼才能獲得相應(yīng)的功能。由于某盾加密強度高，在不持有密碼的情況下很難對受保護的軟件進行破解，這也導(dǎo)致外掛使用者需要找管理員要開啟密碼的情況。急切渴望使用外掛的受害者們在得到開啟密碼一定是欣喜若狂的，他們一定不知道開啟后才是噩夢的開始。

前面提到了某盾加密“在不持有密碼的情況下很難對受保護的軟件進行破解”，之所以提及“不持有密碼的情況下”，是因為即使在擁有密碼的情況下，某盾加密對程序的保護也比較特殊。在本例中，進程會在同目錄下創(chuàng)建一個名為“飛車通殺輔助VIP2.exe”的程序，并調(diào)用ShellExecute函數(shù)運行該程序。

圖3 運行“飛車通殺輔助VIP2.exe”

但實際上，在磁盤中，也就是該路徑下并不存在這個文件。這也是某盾加密為了防止加密視頻播放時被提取而采取的策略。某盾加密會調(diào)用自身SDK中名為“CreateVirtualFileA”的函數(shù)在內(nèi)存中創(chuàng)建文件，而不是直接讓文件“落地”，這其實也稍微加大了分析的難度，分析者必須對程序進行patch以使創(chuàng)建的文件“落地”。

patch的位置即“CreateVirtualFileA”函數(shù)。根據(jù)某盾加密邏輯，程序會首先調(diào)用“CreateVirtualFileA”函數(shù)創(chuàng)建虛擬文件，然后使用WriteFile函數(shù)將解密后的數(shù)據(jù)寫入文件。使用CreateFile函數(shù)patch掉“CreateVirtualFileA”可使文件落地。如圖所示。

圖4 patch前

圖6 “落地”的惡意程序

該程序也是一款定制的程序，可以看出作者只是將一些定制的模塊拼接起來構(gòu)成一個敲詐者木馬。從字符串中可以看出，定制者可以自定義MBR加密的密碼以及顯示在屏幕上的文字。

圖7 表示可以自定義定制的字符串

之后就是常規(guī)的鎖MBR流程，打開磁盤0并讀取前512字節(jié)，也就是主引導(dǎo)記錄。

圖8 打開磁盤0 

圖9 讀取主引導(dǎo)記錄

之后程序會將原本的主引導(dǎo)代碼保存到磁盤0偏移0x400起始的位置，該位置是磁盤0的第三扇區(qū)。此舉用于備份初始的MBR代碼，當受害者輸入正確的密碼之后，就會將備份的MBR代碼恢復(fù)到第一扇區(qū)中，以保證系統(tǒng)能夠正常啟動。

圖10 設(shè)置偏移

圖11 備份最初的MBR代碼

之后程序就會修改主引導(dǎo)記錄，修改后的主引導(dǎo)記錄如下圖所示。

圖12 被篡改的MBR代碼

反匯編MBR代碼可以看到密碼比較的流程以及之后的處理流程。首先通過int 16h中斷獲取用戶輸入，并將存儲輸入結(jié)果。

圖13 獲取并存儲輸入

圖14 比較輸入與密碼

通過查看存放密碼的地址可以發(fā)現(xiàn)密碼為“ O0 ” （即空格，大寫字母O，數(shù)字0，空格）。在比對成功之后，將通過int 13h中斷讀取存儲在第3扇區(qū)的最初的MBR代碼并將其寫入到第1扇區(qū)，以恢復(fù)系統(tǒng)的正常使用。

圖15 恢復(fù)MBR

總結(jié)

通過該樣本可以看出，國產(chǎn)敲詐者在技術(shù)上并不高深，而且習慣于拼接各種軟件或模塊，以達到其惡意目的。這些模塊雖然互相獨立且功能有限，但經(jīng)過組合之后成為一個功能強大且自保能力強的惡意軟件。而這些國產(chǎn)敲詐者也牢牢抓住一些特定用戶的注意力，披著外掛的外衣干這壞事，讓人措手不及。對于陌生的軟件，用戶應(yīng)該慎點，在中毒后也不要輕易添加qq交付贖金，應(yīng)向殺軟方面進行及時反饋以恢復(fù)系統(tǒng)的使用。360安全衛(wèi)士獨家推出了“反勒索服務(wù)”，用戶在安裝360安全衛(wèi)士并開啟該服務(wù)的情況下，如果防不住各類敲詐者病毒，360負責替用戶賠付贖金。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。