該病毒被運行后，會先從C&C服務器接收一個主加載器MainProShell.dll，然后將其注入到系統進程Explorer.exe中，以執行各種惡意操作。同時，該病毒還部署了一個看門狗模塊（MainProcKeeper.dll），確保其持續在系統中活躍。該病毒執行流程，如下圖所示：

此外，火絨安全工程師在分析過程中發現一篇專利內容，描述的DNS劫持與本次分析的樣本使用技術一致，相關專利信息，如下圖所示：

在繼續查看專利申請人的其他專利時，發現了一個名為“一種針對多個網吧或機房群控分發軟件的方法”的專利信息，與本次分析的病毒樣本運行模式極為相似。目前經該專利申請人自述，其與該病毒之間不存在直接的關聯，相關專利信息，如下圖所示：

火絨安全工程師在此建議，網吧經營者需安裝并定期更新殺毒軟件，同時加強設備管理，及時修復安全漏洞，確保各臺終端處于最新的安全防護狀態。

一、樣本分析

病毒啟動之后，通過一個多階段加載器機制在系統關鍵進程中部署惡意模塊。首先，病毒從C&C服務器接收主加載器 MainProShell.dll。病毒將這個主加載器注入到系統進程 Explorer.exe 中。MainProShell.dll 是次加載器，主要負責將 gox64.dll（payload）隨機注入到其他的系統進程以執行惡意操作。同時，病毒還部署了 MainProcKeeper.dll，這是一個看門狗模塊，被注入到winlogon.exe。其主要職責是監控 MainProShell.dll 的運行狀態，確保它在系統中持續活躍。

防止 MainProShell.dll 遭遇注入失敗或運行中斷，MainProcKeeper.dll 會將MainProShell.dll重新注入到explorer進程中，這大大增加了惡意軟件的持久性。這種復雜的注入策略，不僅提高了病毒的隱蔽性，同時也使其更加抗干擾，難以被殺毒軟件偵測和清除。從C&C服務器接收惡意模塊MainProShell.dll并注入到explorer進程中的相關代碼，如下圖所示：

將看門狗模塊從資源中讀出并注入到winlogon中執行 ，相關代碼，如下圖所示：

在MainProShell.dll模塊中會創建一個互斥體，如果MainProShell.dll沒有運行，互斥體就會失效，所以在看門狗模塊中會循環判斷互斥體是否存在，如果不存在就將MainProShell.dll重新注入到explorer進程中，相關代碼，如下圖所示：

第二加載器階段，MainProShell.dll會從將gox64.dll從資源節區中取出，并注入到隨機的系統進程中，相關代碼，如下圖所示：

在惡意模塊gox64.dll中，會請求C&C服務器配置信息，根據配置信息來下載執行各種惡意模塊，如：URL劫持、DNS劫持、廣告推廣、刷量控制、傳奇登陸器劫持、反調試等惡意模塊。除此之外，該模塊還具備多種對抗手段，如反虛擬機，檢測殺毒軟件，通過hook系統API來隱藏真實的域名信息等。反虛擬機會通過GetSystemFirmwareTable函數來檢測是否在虛擬機中，相關代碼，如下圖所示：

還會檢測用戶電腦中是否存在殺毒軟件，相關代碼，如下圖所示：

通過HOOK 網絡相關API來隱藏真實的域名，HOOK之后，調用該函數時傳入無效的域名，但是在內部HOOK代碼處修改域名為正常域名，HOOK相關代碼，如下圖所示：

以InternetOpenUrlW函數為例，HOOK之后，在HOOK函數內部會修改無效的域名為正常域名，相關代碼，如下圖所示 ：

從C&C服務器接收執行惡意模塊，相關代碼，如下圖所示：

解密后的配置信息中有數十個模塊，部分配置信息，如下圖所示：

火絨安全工程師獲取到的部分惡意模塊列表，如下圖所示：

內存加載C&C服務器下發的惡意模塊，相關代碼，如下圖所示：

惡意模塊分析

由于病毒的惡意模塊數量眾多，以下僅挑選有代表性的惡意模塊進行詳細分析。

桌面圖標廣告推廣模塊

該模塊負責向用戶電腦桌面中添加廣告，模塊被加載后，會先從C&C服務器獲取配置信息，再根據配置信息來創建推廣的圖標，獲取配置信息，相關代碼，如下圖所示：

獲取到的配置信息，如下圖所示：

獲取到配置信息之后，該模塊就會根據配置信息在桌面創建推廣的廣告圖標，相關代碼，如下圖所示：

創建的桌面圖標，如下圖所示：

瀏覽器書簽廣告推廣模塊

該模塊的功能是向用戶瀏覽器書簽中添加廣告，模塊被加載后，會先從C&C服務器獲取配置信息，再根據配置信息來向用戶瀏覽器書簽中添加廣告。從C&C服務器獲取配置信息，相關代碼，如下圖所示：

獲取到的配置信息，如下圖所示：

獲取到配置信息之后，再根據配置信息來向相關瀏覽器中添加書簽廣告，相關代碼，如下圖所示：

被添加書簽廣告之后的瀏覽器，如下圖所示：

刷量控制模塊

該模塊的功能是根據C&C服務器的配置信息，對指定的URL訪問進行刷訪問量，模塊啟動之后，會先從C&C服務器獲取要刷流量的URL，相關代碼，如下圖所示：

獲取到的配置信息，如下圖所示：

將接收到要刷量的URL組成html代碼，在后臺進行刷量，相關代碼，如下圖所示：

通過fiddler抓包工具可以監控到流量數據，如下圖所示：

DNS劫持模塊

DNS劫持模塊啟動之后，首先獲取DNS緩存服務的pid，然后將劫持模塊注入到DNS緩存服務中，相關代碼，如下圖所示：

在注入的劫持模塊中，通過HOOK WSARecvMsg函數來監控和修改系統中所有DNS請求，HOOK相關代碼，如下圖所示：

在HOOK WSARecvMsg函數中對DNS請求進行劫持，相關代碼，如下圖所示：

URL劫持模塊

URL劫持模塊啟動后，會先從C&C服務器獲取劫持相關的配置信息，相關代碼，如下圖所示：

獲取到的部分配置信息，如下圖所示：

獲取到劫持相關的配置信息之后，會將URL劫持相關的模塊，注入到瀏覽器進程進行劫持，相關代碼，如下圖所示：

傳奇登陸器劫持模塊

該模塊主要負責劫持用戶電腦中的傳奇登陸器，來推廣指定的傳奇。模塊啟動之后，會先從C&C服務器中獲取相關配置文件，再根據配置文件進行檢測，如果存在指定的傳奇客戶端就進行劫持。獲取配置信息相關代碼，如下圖所示：

由于安全工程師在調試的過程中并未獲取到相關配置信息，無法進行動態調試。以下是分析人員通過對惡意文件的靜態分析的結果，分析發現配置信息中存在幾個字段：icomd5，filemd5等字段 ，病毒通過這幾個字段信息來確定要劫持的登陸器，以icomd5為例，模塊會遍歷系統中的進程并計算圖標文件的MD5值來判斷是否為劫持的登陸器，計算圖標MD5相關代碼，如下圖所示：

確認是要劫持的登陸器之后，會將劫持模塊注入到目標進程中，相關代碼，如下圖所示：

在劫持模塊中會對ShowWindow 函數進行HOOK，相關代碼，如下圖所示：

在HookShowWindow中，會創建一個新的窗口來代替代替原窗口，相關代碼，如下圖所示：

反調試模塊

反調試模塊啟動后，會通過枚舉Windows窗口的類名和標題來檢測是否存在特定的調試軟件，相關代碼，如下圖所示：

會檢查的窗口標題和類名列表，如下圖所示：

二、附錄

C&C：

HASH：

是XX在線網吧老板

我家網吧

交通方便，裝修豪華

電腦配置優越

給每位顧客飛一般的網速

家一般的呵護

可不知怎的

我家網吧最近總接到顧客投訴

團戰必卡、屢送“人頭”

害得顧客被罵是“豬”隊友

明明是頂配電腦

重啟、重裝全無療效

不如報警吧

我們一起把謎底揭曉

按照夏季治安打擊整治“百日行動”工作部署，近日，鹽城網安成功搗毀一個以張某堂為首的利用黑客技術實施非法控制計算機信息系統的黑客團伙，查扣定制木馬U盤475個，黑客程序源代碼1套。

疑點：網吧電腦集體中毒

今年7月，江蘇鹽城一網吧老板報警稱：網吧電腦十分異常，疑似被植入了病毒——電腦運行速度變得奇慢無比，別說是運行網絡游戲，就連正常的上網搜索都非?？?。

更為離奇的是，電腦只要一開機，哪怕不運行任何程序，電腦系統資源的占有率就已經達到70%以上。后經自檢發現，網吧內電腦主機上均被插上了不明來源的U盤。

出手：網警細查發現“病因”

鹽城網安部門接到報警后，立即展開調查。

民警發現這些可疑U盤插入主機后，電腦會其默認識別為鍵盤，具有極高的隱蔽性和偽裝性，一般用戶很難察覺。

隨后，U盤內程序便開始自動隱蔽運行挖礦程序。

網警小課堂：挖礦是什么？

網上的“挖礦”，指的是“礦工”根據設計者提供的開源軟件，提供一定的計算機運算力，通過復雜的數學運算，求得方程式特解的過程，求得特解的“礦工”可以得到特定數量的比特幣等虛擬貨幣獎勵。

而所需的“鏟子”就是配置較高，運算速度足夠快的計算機，“礦工”也就是操縱電腦的使用者。

亮劍：警方出擊揪出“黑手”

深入調查后警方查明：自2022年6月起，淮安籍犯罪嫌疑人張某堂、劉某波、戴某新便開始商討如何利用網吧高配電腦挖礦賺錢，后通過境外通聯工具勾連河北籍黑客魏某、曹某，以38800元的價值定制了475個木馬U盤。

該U盤僅指甲蓋大小，可偽裝成鍵盤、鼠標等外設，并自動靜默各類定制程序，運行具有很高的隱蔽性。為便于通過后臺及時掌握礦池挖礦情況，主犯張某堂還特別要求曹某在編寫了程序時為每個U盤進行編號。

收到U盤后，張某堂等三人分別駕車赴揚州、鹽城、淮安等地尋找電競酒店、連鎖網吧35家，偷裝U盤188個實施非法控制電腦進行挖礦。

短短半個多月的時間，三人便非法牟利4萬余元。在張某堂看來，借雞生蛋的大買賣才剛剛開始，殊不知一幅天羅地網已在其身后徐徐展開。

在充分掌握該黑客團伙犯罪事實后，鹽城網安部門立即開展集中收網行動，成功抓獲5名犯罪嫌疑人。

目前該5人均因涉嫌非法控制計算機信息系統罪被刑事拘留。

非法控制計算機信息系統：違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

來源：公安部網安局

源：公安部網安局

我是XX在線網吧老板

我家網吧

交通方便，裝修豪華

電腦配置優越

給每位顧客飛一般的網速

家一般的呵護

可不知怎的

我家網吧最近總接到顧客投訴

團戰必卡、屢送“人頭”

害得顧客被罵是“豬”隊友

明明是頂配電腦

重啟、重裝全無療效

不如報警吧

我們一起把謎底揭曉

按照夏季治安打擊整治“百日行動”工作部署，近日，鹽城網安成功搗毀一個以張某堂為首的利用黑客技術實施非法控制計算機信息系統的黑客團伙，查扣定制木馬U盤475個，黑客程序源代碼1套。

疑點：

網吧電腦集體中毒

今年7月，江蘇鹽城一網吧老板報警稱：網吧電腦十分異常，疑似被植入了病毒——電腦運行速度變得奇慢無比，別說是運行網絡游戲，就連正常的上網搜索都非?？?。

更為離奇的是，電腦只要一開機，哪怕不運行任何程序，電腦系統資源的占有率就已經達到70%以上。后經自檢發現，網吧內電腦主機上均被插上了不明來源的U盤。

出手：

網警細查發現“病因”

鹽城網安部門接到報警后，立即展開調查。

民警發現這些可疑U盤插入主機后，電腦會默認識別為鍵盤，具有極高的隱蔽性和偽裝性，一般用戶很難察覺。

隨后，U盤內程序便開始自動隱蔽運行挖礦程序。

網警小課堂：挖礦是什么？

網上的“挖礦”，指的是“礦工”根據設計者提供的開源軟件，提供一定的計算機運算力，通過復雜的數學運算，求得方程式特解的過程，求得特解的“礦工”可以得到特定數量的比特幣等虛擬貨幣獎勵。

而所需的“鏟子”就是配置較高，運算速度足夠快的計算機，“礦工”也就是操縱電腦的使用者。

亮劍：

警方出擊揪出“黑手”

深入調查后警方查明：自2022年6月起，淮安籍犯罪嫌疑人張某堂、劉某波、戴某新便開始商討如何利用網吧高配電腦挖礦賺錢，后通過境外通聯工具勾連河北籍黑客魏某、曹某，以38800元的價值定制了475個木馬U盤。

該U盤僅指甲蓋大小，可偽裝成鍵盤、鼠標等外設，并自動靜默各類定制程序，運行具有很高的隱蔽性。為便于通過后臺及時掌握礦池挖礦情況，主犯張某堂還特別要求曹某在編寫了程序時為每個U盤進行編號。

收到U盤后，張某堂等三人分別駕車赴揚州、鹽城、淮安等地尋找電競酒店、連鎖網吧35家，偷裝U盤188個實施非法控制電腦進行挖礦。

短短半個多月的時間，三人便非法牟利4萬余元。在張某堂看來，借雞生蛋的大買賣才剛剛開始，殊不知一幅天羅地網已在其身后徐徐展開。

在充分掌握該黑客團伙犯罪事實后，鹽城網安部門立即開展集中收網行動，成功抓獲5名犯罪嫌疑人。

目前該5人均因涉嫌非法控制計算機信息系統罪被刑事拘留。

非法控制計算機信息系統：違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

素材 | 江蘇網警