新闻链接：7f3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4y4&6M7%4c8W2L8g2)9J5c8U0V1#2y4e0M7I4i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2016-02-03
新闻正文：“绿色”并不代表安全，一个隐藏在绿色软件中的木马分析
1. 背景

“绿色软件”通常指的是那些无需安装即可使用的小软件，这些小软件运行后通常可以直接使用，且使用后不会在注册表、系统目录等残留任何键值和文件，甚至可以直接将其放到U盘、光盘等移动介质中，随时随地使用。   
同时由于其免安装、解压即可使用，也会给人予安全的感觉，因此深受广大网友的喜爱。然而这些“绿色软件”真的都安全吗？

2. 木马简介

近期腾讯反病毒实验室捕获到多个带有木马的“绿色软件”压缩包，此类绿色软件通常为小工具类，通过中小下载站传播，这些标榜“绿色软件”的压缩包程序中含有木马。此外，这些工具还被大量上传到网盘、论坛、社交群里，传播量较大。木马运行后不仅会篡改多种浏览器的主页，还会下载大量推广程序、木马到本地执行，对用户计算机安全造成严重的威胁。

该木马主要存在于各种“绿色软件”包中，直接替换原本的主程序，将原本的主程序重新命名为mail.dll，木马启动后会查找同目录下的mail.dll文件，并将其运行起来，从而让用户完全无法察觉。随后木马便会不断篡改主页、下载推广软件、关闭防火墙、关闭系统声音、后台刷流量等。

3. 木马详细分析

该木马使用VB语言编写，由于VB语言在编译程序时是将程序编译成中间语言，而非二进制代码，因此具有天然的免杀功效，目前VirusTotal上仅有不到三分之一的安全软件能够识别该木马。

通过VB反编译软件对该样本进行反编译后可以发现，除了主函数外，还有一个窗体中含有多个事件，包括三个计时器事件，以及窗体的加载和卸载事件等，此外，通过代码结构可发现，该样本中嵌入了一款名为VB多标签页面web浏览器的控件，该控件主要用于访问指定导航页面，刷流量。

木马运行后在主函数中会先关闭系统自带的防火墙，随后立即运行同目录下的main.dll文件，经分析该软件真正的主体文件。此外，可能是为了逃避分析和特征查杀，该木马程序中的所有字符串均拆分成小片段后再拼接。

main.dll实为软件主程序，将其扩展名改为exe后，可见其真实图标，木马只是以狸猫换太子之术将主程序“掉包”，运行主程序后主程序完成软件真实功能，木马则在后台偷偷运行。

在主窗体的加载函数中，木马初始化部分配置信息，主要是访问以下4个URL链接获取相关配置信息，以及发送统计信息、使用内置web浏览器刷流量。

d7cN6%4N6%4i4K6u0W2k6r3!0F1k6%4A6Z5K9i4u0A6i4K6u0W2j5$3!0E0i4K6u0r3N6q4)9J5c8U0m8Q4x3X3g2S2M7%4m8Q4c8f1k6Q4b7V1y4Q4z5o6S2Q4c8e0c8Q4b7U0S2Q4b7V1u0Q4c8e0W2Q4b7e0q4Q4b7U0g2Q4c8e0W2Q4z5o6g2Q4z5p5c8Q4c8e0N6Q4b7V1c8Q4b7f1g2Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6p5`.

69eN6%4N6%4i4K6u0W2k6r3!0F1k6%4A6Z5K9i4u0A6i4K6u0W2j5$3!0E0i4K6u0r3N6q4)9J5c8U0q4Q4x3X3g2Z5N6r3#2Q4c8f1k6Q4b7V1y4Q4z5o6S2Q4c8e0N6Q4b7V1u0Q4z5f1k6Q4c8e0S2Q4b7f1g2Q4b7e0q4Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6p5`.

g.msnunion.com/exi/h.asp（第三方浏览器主页配置）、

g.msnunion.com/exi/wj.htm（跳转到导航页01dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6K6S2Q4x3X3f1I4y4U0p5$3i4K6u0W2L8X3g2@1i4K6u0r3i4K6y4r3N6h3^5%4y4K6R3K6i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4K6R3^5i4@1t1%4i4@1f1$3i4@1t1#2i4K6R3I4i4@1f1&6i4K6R3%4i4K6S2r3

随后启动计时器1和计时器2，由计时器2完成木马的主要功能。

计时器1主要实现的功能是：不断查询系统的进程列表，以判断main.dll进程是否存在，如果不存在，说明用户已经关闭该软件，此时木马便调用窗体卸载函数准备退出程序，以免被发现异常。

计时器2负责完成木马的主要恶意行为，首先会根据初始化的配置信息，修改多种浏览器的主页，目前，该木马配置的主页为：f88K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6K6S2Q4x3X3f1I4y4U0p5$3i4K6u0W2L8X3g2@1i4K6u0r3i4K6y4r3N6h3^5#2y4K6V1@1k6h3&6V1

随后木马会下载配置文件6f9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8G2L8X3N6*7K9r3W2J5K9g2)9J5k6h3y4G2L8g2)9J5c8Y4c8Q4x3V1k6B7i4K6u0W2N6s2S2@1i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4@1q4r3i4K6R3$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1&6i4K6R3#2i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1#2i4K6R3J5i4@1p5^5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4@1u0n7i4@1f1^5i4@1p5$3i4K6R3I4i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1^5i4@1p5$3i4K6R3I4i4@1f1$3i4K6S2q4i4@1p5^5i4@1f1#2i4@1t1&6i4@1u0r3i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1^5i4@1u0p5i4@1q4r3i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1#2i4K6R3^5i4K6V1%4i4@1f1^5i4@1p5I4i4@1p5^5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4@1p5H3i4@1t1&6i4@1f1$3i4K6S2p5i4@1q4q4i4@1f1%4i4K6V1@1i4@1t1#2i4@1f1^5i4K6R3@1i4K6V1I4i4@1f1#2i4K6R3#2i4@1t1K6i4@1f1&6i4K6V1@1i4@1q4q4i4@1f1%4i4K6W2n7i4K6V1I4i4@1f1$3i4@1t1#2i4K6S2n7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1&6i4K6R3#2i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1%4i4@1u0m8i4@1p5$3x3g2!0q4y4g2)9^5z5q4)9^5y4W2!0q4z5g2)9&6x3W2)9&6c8W2!0q4y4g2)9^5c8W2)9&6z5q4!0q4y4g2)9^5b7g2!0m8z5q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8b7#2!0m8x3g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0m8c8W2)9^5c8W2!0q4y4W2!0m8b7#2!0m8x3g2!0q4y4W2)9^5c8g2!0m8z5q4!0q4y4g2!0n7z5g2!0n7c8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4q4!0n7b7W2!0n7y4W2!0q4z5g2)9^5x3#2!0n7c8q4!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8x3q4!0n7y4#2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2)9^5c8W2!0m8c8W2!0q4z5q4!0m8y4#2)9^5x3g2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4W2)9&6b7#2!0m8z5q4!0q4z5g2!0m8z5g2!0m8b7#2!0q4z5q4!0n7c8W2)9&6z5q4!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4W2)9^5b7#2)9^5x3g2!0q4y4#2!0n7b7W2!0m8c8q4!0q4y4W2!0n7y4q4!0n7b7W2!0q4z5q4!0n7y4#2)9^5x3#2!0q4y4q4!0n7z5q4!0m8c8q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

该木马推广的程序列表以分钟级更新，以下是该木马推广的部分软件，可见大部分为游戏程序，此外还有发现该木马推广其它木马程序。

4. 传播渠道

此木马通过标榜“绿色软件”，打包到各种小软件工具包中，并上传到大量中小下载站，经不完全统计，目前在网络上的打包有该木马的“绿色软件”包总数量在1000个以上，涉及到各种常用小工具。以下为部分被打包了木马“绿色软件”列表。

5. 结语

随着互联网的普及和发展，网络黑色产业也越来越深入互联网的每一个角落，曾经干净的、安全的、无私共享的网络资源如今已经逐渐绝迹。就像前段时间腾讯反病毒实验室曝光的附加在ghost镜像中的“苏拉克”木马一样，网络上未被黑产染指的空间越来越小。如今网络上的共享免费的资源，已经少有安全的了。

在此管家建议广大用户，无论是大软件还是小工具或者操作系统，尽量从官网下载，或者使用安全软件的软件管理进行下载和安装，尽量不要从无法确定安全性的中小网站下载资源。

* 作者：腾讯电脑管家（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

[培训]科锐逆向工程师培训第53期2025年7月8日开班！