下载、加载恶意模块
b024b1ac2de.dll被加载之后,会从资源中解密恶意模块a74746.dll,相关代码,如下图所示:
加载资源中的a74746.dll模块
在a74746.dll模块中会收集用户的各种隐私数据如:谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息,相关代码,如下图所示:
获取当前进程信息
将进程相关信息上传至C&C服务器,相关代码,如下图所示:
上传用户进程信息
收集当前活动窗口标题并上传至C&C服务器,相关代码,如下图所示:
获取当前活动窗口标题并上传至C&C服务器
从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息,以360安全浏览器为例,定位浏览器数据库文件,相关代码,如下图所示:
定位数据库文件
使用SQL语句在数据库文件中搜索历史信息,相关代码,如下图所示:
搜索的信息
SQL语句搜索指定记录
将收集到的信息,上传至C&C服务器,相关代码,如下图所示:
上传浏览器历史记录数据
涉及到的相关浏览器列表,如下图所示:
涉及浏览器列表
a74746.dll恶意模块还会请求新的配置文件来带参数运行JikeIterh.exe模块来下载、解密执行新的恶意模块WindowPop.dll,相关代码,如下图所示:
解密执行新的恶意模块WindowPop.dll
在WindowPop.dll恶意模块中会获取各个浏览器的数据库文件,从中获取用户淘宝昵称;淘宝、天猫商店中浏览过物品ID等隐私信息后并通知C&C服务器,相关代码,如下图所示:
获取淘宝相关信息,并通知C&C服务器
从浏览器的历史记录数据库文件中获取用户浏览过商品ID,相关代码,如下图所示:
从浏览器history数据库文件中获取用户浏览过商品ID
WindowPop.dll恶意模块会根据一些游戏(英雄联盟、地下城与勇士、穿越火线、天涯明月刀)的配置文件找到用户的QQ账号并通知C&C服务器,以英雄联盟为例,相关代码,如下图所示:
收集QQ账号并通知C&C服务器
WindowPop.dll恶意模块会在后台静默安装爱奇艺、酷狗、酷我等软件,以酷我为例,相关代码,如下图所示:
后台静默安装软件
在WindowPop.dll恶意模块中还会定期弹出广告窗口,相关代码,如下图所示:
弹出广告窗口
同源性分析
加载远程恶意模块代码同源性对比,如下图所示:
同源性对比
C&C服务器下发的配置文件对比,如下图所示:
