騰訊安全威脅情報中心檢測到近期ForShare遠控木馬較為活躍。此次傳播的版本將帶有游戲物品交易價格信息的圖片捆、綁到病毒中，在執(zhí)行時通過偽、造的游戲道具交易價格圖片迷惑游戲玩家。

一、概述

騰訊安全威脅情報中心檢測到近期ForShare遠控木馬較為活躍。此次傳播的版本將帶有游戲物品交易價格信息的圖片捆、綁到病毒中，在執(zhí)行時通過偽造的游戲道具交易價格圖片迷惑游戲玩家。中招后電腦即被遠程控制，鍵盤輸入、桌面窗口信息被實時采集和上傳，該遠控木馬還可實現(xiàn)語音監(jiān)、聽，屏幕控制，遠程控制攝像頭、DDoS攻擊，以及竊、取受害者的敏感信息。

ForShare遠控木馬由國內(nèi)黑客2015左右開發(fā)完成，在多個平臺均有源碼可供下載，攻擊者可根據(jù)自己的需要靈活修改定制。騰訊安全專家建議游戲玩家小心處理其他玩家提供的文件，謹慎使用游戲外掛和輔助工具，游戲中全程開啟騰訊電腦管家保護系統(tǒng)。

二、詳細分析

樣本PE信息顯示編譯時間為2019年12月28日。啟動后首先通過命令net stop UIODetect關(guān)閉交互式服務檢測提示。

在C盤根目錄下創(chuàng)建C:\jpg.jgp, C:\1.bat，并通過C:\1.bat中的CMD命令打開圖片：

%SystemRoot%\system32\cmd.exe /c start C:\jpg.jpg &attrib c:\jpg.jpg +h &attrib c:\1.bat +h

Jpg.jpg圖片打開時的內(nèi)容，其中包含一些虛擬游戲道具的價格信息：

然后進入遠控木馬主體代碼，傳入標識參數(shù)“Forshare82”。

通過VirtualAlloc動態(tài)申請內(nèi)存，并將模塊PcMain.dll映射到內(nèi)存，然后跳轉(zhuǎn)到入口處執(zhí)行。

獲取時間拼接到”Global\\klt %d”作為全局事件名，創(chuàng)建互斥體保證模塊具有唯一實例

與服務器建立連接，其中各參數(shù)如下：

服務器地址：129.204.169.107

端口：8000

密碼：3800

分組：Default

版本：2020-03-16

判斷是否接到退出命令，如無則通過ResetEvent設(shè)置等待事件，保持連接狀態(tài)。

將木馬拷貝到Windows目錄下，重命名為scrss.exe，然后添加到注冊表啟動項”Software\\Microsoft\\Windows\\CurrentVersion\\Run”。

開啟鍵盤記錄，并實時獲取活動窗口標題信息，將鍵盤輸入和活動窗口數(shù)據(jù)加密后保存至Windows目錄下，文件后綴為.key。

上線成功后，F(xiàn)orShare可根據(jù)服務端指令，完成屏幕控制，語音監(jiān)、聽，上傳和下載文件，執(zhí)行程序，關(guān)機和重啟等多種遠控功能。

而該木馬源代碼在多個共享平臺可供下載，導致黑客可以隨意下載和重新修改編譯。

我們將C&C地址輸入騰訊安圖高級威脅溯源系統(tǒng)查詢，可以看到有較多情報標簽為Forshare或gh0st的與129.204.169.107有關(guān)聯(lián)，對應樣本的落地文件名為“奧物圖.exe”，“物價,exe”，“收購.exe”等。結(jié)合此前分析中木馬啟動時打開的圖片信息，可以推測該遠控木馬通過偽裝成游戲虛擬道具交易進行傳播。

安全建議

1. 推薦企業(yè)用戶部署騰訊T-Sec高級威脅檢測系統(tǒng)(騰訊御界)對黑客攻擊行為、遠控木馬行為進行檢測。

騰訊T-Sec高級威脅檢測系統(tǒng)，是基于騰訊安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨特威脅情報和惡意檢測模型系統(tǒng)，該系統(tǒng)可及時有效檢測黑客對企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風險。參考鏈接：https://cloud.tencent.com/product/nta

2.推薦企業(yè)用戶使用騰訊T-Sec終端安全管理系統(tǒng)(御點)，個人用戶使用騰訊電腦管家攔截查殺該病毒。

3.建議游戲玩家提高警惕，勿輕易相信其他玩家以低價售賣游戲道具為誘餌提供的任何文件，謹慎使用游戲外掛、插件、輔助工具網(wǎng)站提供的任何軟件。

IOCs

Md5

74232c262bb3a331a4ee099be2754018

0c408022cbd36874afdf30ec5000e5b9

329bfdf44703cee649143ccdcbd36822

C&C

129.204.169.107:8000