专栏丨大东话安全之“吮”

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、谶曰

生物课本：寄生是指一种生物生于另一种生物的体内或体表，并从后者摄取养分以维持生活的现象。

东哥：恶意代码隐藏在脚本文件中，利用 AutoIt 解释器调用自身。

小白：揪出这条寄生脚本！

二、病毒通缉令

小白：喔~今天是神奇的魔术先生~~你举手~你抬头~你说选我选我~~

大东：AutoIt 可不是什么魔术先生，更不会给你变钞票。

小白：啥？Au 什么 t？

大东：它是一种使用 AutoIt 编写的蠕虫程序，样本运行后会将自身复制到系统目录下，是自身随机启动，修改注册表键值，禁用任务管理器，会对目标地址的计算机系统不断发送病毒数据包，并试图利用局域网进行传播。

小白：原来又是蠕虫啊……

三、寄生虫病毒

小白：大东东，这个 AutoIt 是啥呀？

大东：AutoIt 其实是一个自动化的 Windows 界面交互的脚本语言，使用灵活，容易学习。而 AutoIt 解释器属于合法程序，使得黑客可以把恶意代码藏在脚本文件中，从而灵活地创建恶意软件。

小白：喔~又是一个被坏人利用的好东西！

大东：AutoIt 蠕虫的样本颇多，我给你举个例子吧。

小白：瓜子板凳儿就位~

• 暗藏神秘照片

大东：那咱就讲这个样本：[AutoIt3.exe] 71D8F6D5DC35517275BC38EBCC815F9F，[googleupdate.a3x] E58C5E3F461089CA9688D3ACA204EA70。

小白：@#%￥……%￥&*）#￥……这什么东西啊？

大东：这样本信息，你可以忽略不看。

小白：还没开讲就晕了。

大东：别急~AutoIt3.exe 是 AutoIt 脚本解释器，它带有正规数字签名。真正的病毒体其实是 googleupdate.a3x。

AutoIt3.exe数字签名

小白：听起来像是 AutoIt3.exe 身上的寄生虫。

大东：样本执行时，依靠 AutoIt3.exe 调用 googleupdate.a3x 脚本，以此执行其中的恶意代码。

小白：恶意代码长啥样？

大东：喏，大概长这样。

脚本中的恶意代码

如果你在网上搜索代码中的“ C:\Google\ googleupdate.a3x ”，可以找到不少中招用户的反馈。

中招用户的反馈

像这位用户，就是在使用杀毒软件清理 AutoIt 木马脚本后，电脑中仍残留文件，所以开机时就会弹出这个错误框。

小白：搜嘎~

大东：互联网安全分享网站 Freebuf 上有好奇宝宝对样本代码进行了分析。代码总共接近3300行，前约1300行像是复制了一个通用代码，里面有大量的常量的声明，封装了大量的微软操作系统相关的函数，并定义了大量的字符串、数组操作函数，甚至有限制鼠标活动范围的函数。

小白：为接下来的搞事儿做准备吗？

大东：其实，这些预定义好的常量和函数在后面代码中用到的很少。可能是出于作者习惯，所以每个脚本都要带上这段通用代码方便随时调用。

小白：黑客也懒癌……

大东：代码中间1582行是在拼一个很大的变量，其内容用 base64 编码过。

编码后的变量

变量解码后

变量储存的小帅哥照片

有趣的是，解开之后的变量是一个不明身份的小帅哥照片。从照片信息能看出，这张照片是用三星手机拍摄的，并经过 PS 处理，但没找到其他有用的信息，我们无法推断这人是谁……并且病毒执行后也没有调用这段数据，完全是一段垃圾数据。

小白：嗯，这颜值跟我有得一拼~

大东：得了吧你。

小白：嘿嘿~

• 自启、感染、远程控制一条龙

大东：总共3300行代码中，只有最后的400行是真正的病毒代码。这部分代码主要做了四部分的工作：

• 检查自身运行环境

• 创建开机自启动

• 感染全部磁盘

• 驻留内存并与服务器通信实现远程控制

小白：什么？！我电脑都这么卡了它还想开机自启动？！！

大东：开机自启是个挺常见的病毒感染症状，此样本的手法也比较常规，就是写注册表的 run 项，并向“启动”目录添加快捷方式。

小白：除了这个，感染全部磁盘也很讨厌诶，我的文件啊……

大东：样本会遍历本地磁盘，在每个盘符下作如下操作：

• 在当前盘符根目录下新建名为“ skype ”的目录，将 autoit3.exe 和病毒脚本复制到该目录下，并设置该目录属性为“只读/系统/隐藏”。

• 遍历当前盘符根目录下所有文件夹，在每个文件夹下，创建一个与该文件夹同名的快捷方式文件指向 a 步骤中创建的病毒，并将快捷方式图标设置为文件夹图标。

• 如果当前盘符属性为“ removable ”（最常见的是U盘），则会在盘符根目录下额外创建其他快捷方式，指向 a 步骤中的病毒复制体，并将快捷方式图标设置为文件夹。常见的快捷方式名有：

  
  

       mygames

       mypictuers

       myvideos

       hot

       downloads

       movies

小白：看来电脑出现快捷方式就很危险啊。

大东：脚本在完成上述操作之后，会利用一个死循环代码常驻系统内存，并与远端服务器通信实现远程控制。成功后，会先将本地的机器名、用户名、所在国家、系统版本、当前存在的安全软件等信发送出去。然后等待远端指令进行进一步操作。接受的其他指令。

小白：其他指令是啥指令？

大东：就是以下这些了。

AutoIt 病毒远程控制指令

小白：大东东，那我要是被 AutoIt 缠上了，我的电脑有啥症状没有？

大东：如果你使用浏览器打开新主页时会出现广告和弹窗，甚至出现在桌面，那么你的电脑可能就中招了。其他的，网页加载速度变慢，电脑反应速度变慢，也存在中招几率。

小白：我的天！那我岂不是……

大东：你的电脑慢也可能是它老化啦。只要平常安全上网，不瞎开网页瞎下东西，何况你的电脑还有装了防护软件，定时进行全盘查杀，就没那么脆弱。

小白：呼~还好还好~

四、小白内心说

小白：这个其实是个被坏人利用的好蠕虫。

大东：怎么了？

小白：我立志要改变他！

大东：哇，这个志向不错。

小白：你以为。(得意)

大东：那你首先得好好学习了。

小白：那必须的。

大东：你还是先把你电脑上的病毒杀了吧。

小白：哎呀，差点忘了。

大东：哈哈(⊙o⊙)…

五、话说漫威

大东：小白，听过九头蛇吗？

小白：神话故事里的那个？

大东：我想说的不是，九头蛇（HYDRA）是漫威世界的超级反派组织，其标志为骷髅头与下方的蛇足。

小白：他们做啥的？

大东：九头蛇的口号是“砍掉一个头，再长出两个头取而代之”，与神话的海德拉形象契合，且以其无穷无尽的杂兵而实现这一个口号。

小白：噫~有点恶心！

大东：在现代，它是一种使用 AutoIt 编写的蠕虫程序，样本运行后会将自身复制到系统目录下，是自身随机启动，修改注册表键值，禁用任务管理器，会对目标地址的计算机系统不断发送病毒数据包，并试图利用局域网进行传播。

小白：在大东东的故事里，都进化了啊！

九头蛇

来源：中国科学院计算技术研究所