国内“双枪”僵尸网络利用百度贴吧图像进行分发

登录注册

摘要：玩个游戏也能被黑客盯上 ? 电脑设备一不小心就沦为 " 肉鸡 "。僵尸网络潜藏在人们的日常生活中，表面看似波澜不惊，实则暗潮涌动。三年内感染规模超 10 万" 双枪 " 木马是针对

玩个游戏也能被黑客盯上 ? 电脑设备一不小心就沦为肉鸡。僵尸网络潜藏在人们的日常生活中，表面看似波澜不惊，实则暗潮涌动。

三年内感染规模超 10 万

双枪木马是针对 windows 系统的大规模恶意木马。自 2017 年 7 月开始活动，在过去三年中，双枪木马影响范围较小，但是随着规模的逐步扩大，如今，该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。

双枪木马主要是通过网络共享诱饵应用程序进行分发，为社交网络和游戏论坛提供盗版游戏，使用 MBR 和 VBR 引导程序感染用户设备，安装各种恶意驱动程序，并在本地应用程序窃取凭据。

双枪木马的恶意行为主要包含以下三种：

1、向用户发送广告和垃圾邮件的恶意功能，在用户设备劫持账号，并以此发送和传播广告 ;

2、从合法的电商网站劫持流量，并将感染用户定向引导到指定网站，目前该功能已删除 ;

3、禁用网络安全软件。

双枪木马近年来屡次开展大规模互动，屡屡被曝光和打击后仍可死灰复燃，由此可见其根基深厚，规模庞大。

关闭部分僵尸网络后端基础架构，其中大部分都在使用百度的贴吧图像托管服务，部分使用了阿里云存储托管配置文件。

IOC 关联分析

通过样本溯源可以看到，这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端，具体感染方式大体分为两种，一是启动器内含恶意代码，二是 DLL 劫持。

启动器内包含恶意代码方式可分为三个感染阶段：

1、用户下载含恶意代码的私服客户端并执行，恶意代码访问配置信息服务器后，从贴吧下载并加载 cs.dll 最新版恶意程序 ;

2、cs.dll 会进行一些简单的虚拟机和杀软对抗，利用百度统计服务上报僵尸网络信息，释放第 3 阶段 VMP 加壳的驱动程序 ;

3、所有敏感的配置信息都保存在驱动内部，DLL 通过调用驱动来获得配置服务器相关信息，根据下载的配置信息去百度贴吧下载其它恶意代码，进行下一阶段的恶意活动。

DLL 劫持感染方式依然是以私服客户端为载体，多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件，执行可分为两个阶段：

1、首先会释放相应架构的恶意驱动程序，然后注册系统服务并启动 ;

2、加载真正的 photobase.dll 文件，并将导出函数转发到真正的 photobase.dll。

过去三年来，双枪一直在从百度贴吧下载图像。这些图像包含秘密代码 ( 使用一种称为隐写术的技术隐藏在图像内部 ) ，该代码为双枪僵尸网络提供了感染主机执行操作的指令。

在过去的两个星期中，360 联手百度追踪打击双枪木马，一直在删除双枪使用的图像，并记录来自受感染主机的链接，因此发现僵尸网络规模巨大。目前，僵尸网络规模估计为数十万，打击活动在持续进行中。

在此提醒广大读者，不要随意点击陌生链接或者下载未知的应用程序，避免感染恶意木马，沦为肉鸡。

【责任编辑：赵宁宁 TEL：（010）68476606】