概述

近日，360政企安全反病毒团队检测到不法分子通过微信和企业微信传播了一种新型远程控制木马。除了常见的获取系统信息、窃取文件、远程下发和执行、截屏等远程控制功能外，变体还增加了监控和窃取微信的功能，以获取微信中的大量个人信息。

安全脑迹发现特洛伊木马主要有两种传播方式：

钓鱼链接通过微信发送，引诱用户点击链接下载恶意程序。

通过微信发送引导chm文件，例如：'Year of Ox rich. 'chm'，'我的立场。Chm '， '位置图。chm”等。一旦用户运行收到的chm文件，远程控制木马就会被释放。

通过对木马传播数据的分析，发现该木马的攻击对象主要是股票、期货、基金等金融投资相关用户。

根据360安全大脑的监控数据分析，滥用软件目前已经蔓延到中国多个省份，并在3月初达到顶峰。目前，随着安全软件的拦截，木马已经得到有效控制。

样品分析

安装过程

无论是通过微信直接传播，还是通过chm文档发布，木马被触发后，恶意程序会从http[:]//e.52079[.]cc/1.exe下载并执行。该示例是一个自提取程序，包含以下文件：

其中，DownLoad-35.exe与DownLoad-40.exe类似，只是根据。NET框架版本，下载不同的木马。

“account.xml”文件如下：

DownLoad-35.exe读取account.xml配置文件，根据配置和。NET Framework版本再次下载恶意程序并执行，例如下载的35-pro.exe也是一个自提取程序，其内容如下：

在这里下载并执行特洛伊木马，它会长时间地将自己复制到启动文件夹中。

远程控制木马

解密包含木马登录信息和用户机器特性的木马配置client.txt:

解析client.txt文件，获取对端IP地址和端口，然后连接对端IP地址，等待接收远程命令。远程控制程序的常用远程控制功能，如获取系统信息、获取硬盘信息、截屏、上传、下载等远程控制功能。

窃取微信信息

值得一提的是，遥控器还增加了注入微信进程获取微信数据的功能。远程控制木马一旦成功注入到微信进程中，就开始大量收集用户微信的信息，然后将截获的数据发送给控制器。

其获取的微信数据不仅包括常规微信头像、微信姓名、电话号码、微信号信息，还包括获取好友列表信息、群组列表信息、群组成员列表信息、邀请群组成员信息、删除群组信息、二维码入群等各种敏感信息。利用这些信息，攻击者可以分析用户的日常工作和生活信息，甚至通过高仿数等方式实施诈骗。

此外，在C:UsersPublicUpdater文件夹中有一个木马更新程序，用于设置自引导、守护进程主进程、更新程序和更新配置文件函数。完成木马功能。

安全防护及建议

360检测并杀死了远程控制木马。安装了360安全卫士的用户无需担心。

建议广大用户：

安装及确保已启用保安软件，以保障电脑安全。

不要轻易为安全软件报告的程序添加信任或退出安全软件。

不要打开陌生人的链接和文件。

IOCs

MD5

d6c76673a379a22eff53d2219f0279e8

6afacc3473eb37766b9bdc23e37a701d(DownLoad-40.exe)

1f87da7b84bd197f2385c740ed144745(DownLoad-35.exe)

275628a639d963534eb32b562eceba2f(35-pro.exe)

39e400112cf5b705a5e74ebfff531b18(35-updater.exe)

8 c69983ec00db172cb205abe9a9294c7 (Windows运行时。代理。Exe)

705d0526e656ae21871840ffbb3df596(System.Runtime.Win.Updater.exe)

(牛年的财富。CHM)

Domain:

e.52079.cc

dd.52079.cc

www.chemistr.cn

CC

46.8.196.44