一，样本分析

以 "x64-china.msi" 程序为例，其为伪造的 Telegram 程序安装包，在正常安装 TG 后还会释放并执行恶意样本的主体 "显卡安全升级y.exe"

样本首先通过连接硬编码写入的 url 获取第一个数据文件 DU_2.dat ，将其写入到 C:\Users\Public\Music 目录下创建的随机文件名中，并为其设置系统保护和隐藏属性。

该文件以 base64 加密的形式存储着后续操作 payload 所在的 url 列表，该列表以一个统一的主体文件 zip 包和不同 shellcode 文件 zip 包所在的 url 链接作为一个分组，末尾部分还伴随着链接中存储的压缩包的文件名、压缩包内文件夹名以及 shellcode 将要存放的目录。

第一阶段：（主体压缩包及其关联操作）

样本随后会解密并遍历 DU_2.dat 中的链接，首先下载统一的主体文件 zip 包 "bai12.zip"， 并以随机文件名的形式写入到 C:\Users\Public 目录下，解压密码为 "lalala123%"

该压缩包中有 4 个文件夹，每个文件夹名对应着不同的功能，package 下是后续执行主体，static 下是静态的文本信息，txtCode 下的文本形式的 shellcode，winzipper 下的是解压缩包用的正常程序。

在后续的操作中，样本会陆续解压出内部文件夹到指定目录，解压细节如下：

（1）：把 package 包下的 NXYBankAssist.trg、captcommBase.dll 解压到 C:\Users\Public\Videos\fqcvhj（随机文件夹名） 中，并在后续的操作中重命名为 fjqggg.exe（随机文件名）

（2）：把 static 下的 png.1413131 解压到 C:\ProgramData\ 目录中，并在后续操作中重命名为 SHELL.txt

（3）：把 winzipper 下的 fdafvdav.fdafda 解压到 C:\Users\ <username> \AppData\Roaming\gcdks（随机文件夹名） 中，并在后续操作中重命名为 qqvw.exe（随机文件名）

（4）：把 txtCode 下的 out.bin 读取到内存中解密后执行，解密密钥为 "KPT[^JFXWPQ" 解密算法如下：

其为一个 DLL，有两个导出函数 "TestFibo" 和 "Fibo"，其中 "TestFibo" 是空函数，"Fibo" 则用以实现后续的相互 lnk 文件和 url 文件的关联设置和 fjqggg.exe（原 NXYBankAssist.trg）的进程启动操作：

相互关联设置

（一）开机启动关联

在 C:\Users\ <username> \AppData\Roaming\gcdks(随机文件名) 目录中，样本创建了一个指向 Videos 目录下的 fjqggg.exe（原 NXYBankAssist.trg）的 lnk 链接文件 website_secure_lnk，随后把其放入同样是创建的递归目录 Microsoft\Windows\Start Menu\Programs\startup 中并封装成 zip 文件以供后续使用。

随后样本会在 C:\Users\Public\Music\uyrywf（随机文件名） 目录下，通过循环，创建中多个指向 Roaming 目录下 qqvw.exe（原 fdafvdav.fdafda）的 lnk 文件，并把前面创建的 rxu.zip（随机文件名） 作为参数导入，解压目录为 %appdata%

C:\Users\ <username> \AppData\Roaming\jddbg\qqvw.exe -n C:\Users\ <username> \AppData\Roaming\tcoio\rxu.zip -d %appdata%

qqvw.exe（原 fdafvdav.fdafda）是一个正常的解压缩包程序，把 rxu.zip 包解压到 %appdata% 目录下，再根据压缩包内本身封装的目录，最终把指向 fjqggg.exe（原 NXYBankAssist.trg）的 lnk 文件存放到开机启动项 C:\Users\ <username> \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 中：

在执行完 lnk 文件后随即对这些文件进行删除，隐藏痕迹：

（二）执行关联

同样在该目录中，删除完前面的 lnk 文件后，又循环创建多个 url 链接文件，指向执行主体 fjqggg.exe（原 NXYBankAssist.trg），用于后续启动进程：

（三）痕迹清除

最后删除 Romaing 目录下 rxu.zip、qqvw.exe（原 fdafvdav.fdafda）、website_securect.lnk、Public 目录下 vzekjk 压缩包（主体压缩包），保留创建的 url 文件，和写入到开机启动项的 lnk 链接。至此该阶段完成，目的是保持持久化和承接后面的配置操作。

第二阶段：（shellcode 压缩包及主逻辑进程启动）

样本在第一阶段的执行过程中，还会读取 DU_2.dat 中的 shellcode 链接下载第二个压缩包，该压缩包内只包含一个文件 info.txt ，该文件是执行主体 fjqggg.exe（原 NXYBankAssist.trg）的 shellcode 文件。

样本通过前面的 url 文件启动 fjqggg.exe 进程，该程序就是一个入口，直接加载并执行同目录下 captcommBase.dll 中 A4 导出函数，但该 dll 的 3 个导出函数都指向了同一个入口，执行同样的逻辑：

captcommBase.dll 的执行过程中会读取 info.txt，修改 info.txt 文件头的两个字节 FF FF ——>4D 5A，由此解密并作为 DLL 进行内存加载，执行导出函数 Fuck。但该 dll 里面 3 个导出函数也都指向同一个入口，执行同样的操作：

本次分析过程中所下载的 info.txt，其 dll 代码与此前分析的 《恶意后门利用多种免杀手段，可远控用户电脑》中作为回传数据下发的恶意代码，经比较相差不大，包括 3 大部分操作：屏幕截图，注册表读取，保持回连（配置更新）。具体细节请查看 《恶意后门利用多种免杀手段，可远控用户电脑》

关联分析：

相较于其它普通的黑产组织，该团伙在 C2 IP 数量和样本的变种和下发数量上，都有着较为庞大的资源，其背后疑似关联着 "银狐" （去中心化的黑产工具）。

以主域名 ggdy.com 为线索，其关联的子域名中， yk.ggdy.com、8003.ggdy.com、tt2.ggdy.com、tt3.ggdy.com 都是该团伙常用的 C2 配置，其都指向同一个 IP 101.132.42.158。在该团伙活动期间，直接与域名 yk.ggdy.com 通信的样本多达一百多个。

反过来，以 IP 101.132.42.158 为线索，其解析域名还包括在过往分析报告中已发现的 zd.youbi.co、yk.youbi.co 域名，相关通信样本近两百个。这还不包含在分析中发现的其它零零散散的 IP 地址。

另外，除了本次下发的 info.txt 所代表的 "上线模块" 外，病毒作者托管的仓库中还发现了其它类型的远控木马及其变种，经过逻辑对比分析和 PDB 路径关联，可以分为四个大类：

第一类是 "谷堕大盗" 相关样本：包含标志性 PDB 路径和回连代码。

第二类是 "游蛇" 相关样本：其为 Ghost 远控木马的变种，包括标志性的持久化行为和新增远控指令功能。

第三类是 "Xidu" 相关样本：其同为 Ghost 的变种，包括标志性的服务器信息读取和恶意功能下发操作。

第四类即此类样本 "毒鼠"：包括标志性的注册表配置，屏幕截图，和通信功能。

在代码、功能、字符串层面上，"游蛇" 与 "Xidu" ，"谷堕大盗" 与 "毒鼠" 的相似性可见一斑

在 "银狐" 被黑产滥用的大背景下，结合这些组织通过钓鱼网站和聊天工具进行传播的手法，以及组织所代表的工具出现的时间线。有理由相信，“毒鼠” 为黑产团伙依托 "银狐" 系列，所开发的新型远控工具：

公司：北京火绒网络科技有限公司，火绒安全软件企业版，火绒终端系统

火绒安全，火绒，火绒安全软件，火绒官网，火绒杀毒软件怎么样，

火绒企业版怎么收费，火绒企业管理员密码，火绒企业版监控员工电脑，

火绒企业版收费标准，火绒企业版价格，火绒企业版与个人版有何不同，

火绒企业版卸载要密码，火绒，火绒安全、EDR V1.0， ，火绒安全防护

服务区域：

云南火绒，昆明火绒  ，贵州火绒，四川火绒，重庆火绒 ，西藏火绒，拉萨火绒，

产品：火绒安全卫士（专业版）软件 ，火绒终端安全管理系统v2.0，火绒安全终端安全管理系统2.0版，火绒终端安全管理系统V1.0,火绒终端安全管理系统，火绒 windows PC 版（10用户起订），火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版，火绒终端企业版macOS版。火绒企业版收费标准，火绒企业版， 火绒企业版监控员工电脑，火绒企业版和个人版区别， 火绒企业版价格，火绒企业版多少钱，火绒企业版多少钱一年，火绒信息安全软件 linux PC V2.0终端安全管理系统网络版，huorong endpoint security management system2.0 

火绒终端防病毒系统，火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ，火绒终端安全管理系统（ Linux版），火绒安全终端安全管理系统V2.0Linux版，信息安全软件 火绒 windows PC 三年续费版(10用户起订），火绒安全 终端安全管理系统V2.0Linux版 安全软件，火绒专杀工具（企业版），火绒安全 火绒终端安全管理系统2.0（旗舰版），火绒企业网络版杀毒软件升级，火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱

功能：实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,

病毒防御：病毒查杀，防病毒终端软件:网络版杀毒软件，服务器杀毒软件，Linux服务器杀毒软件，防病毒软件EDR、杀毒软件（反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等，网络版杀毒软件 1套，终端安全控制系统，EDR终端安全管理，外网电脑杀毒软件，勒索病毒诱捕，文件实时监控，恶意行为监控，U盘保护，下载保护，邮件监控，web扫描。反病毒引擎供应商。定时全网扫描，

漏洞管理：（漏洞修复）补丁分发，补丁修复，漏洞攻击拦截、攻击溯源，支持漏洞集中修复，补丁文件管理，按终端修复，下发漏洞修复。横向渗透防护，

移动存储管理功能：安全U盘，U盘管控，U盘注册、U盘信任，USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等

终端管控：

外设管控，

系统防御：系统加固，应用加固，软件安装拦截，摄像头防护，浏览器保护

应用软件管理：企业软件管家，软件捆绑安装拦截，软件安装拦截，

网络防御：横向渗透防护，网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁，恶意网址拦截，动态恶意软件检测，无文件恶意软件，终端动态认证，邮件监控，文件实时监控，网络入侵防护。恶意行为监控，勒索病毒诱捕。

访问控制：IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制，下发IP访问限制，安全软件自我保护，密码保护。

应用加固：web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件，系统加固

资产管理：资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、，终端审计、edr功能，远程桌面，预防勒索病毒，拦截恶意攻击等功能。清点硬件资产，

日志报告：

中心管理：

服务端支持系统：Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016

客户端支持系统：Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统

品类：终端安全：终端安全防护，终端安全软件，企业级杀毒， 终端安全防护软件授权，网络终端安全管理项目，终端设备防护，终端安全管理设备，终端安全专项保障，终端安全管理平台，终端安全管理系统，终端安全管理平台升级及维保项目，终端安全运营平台，终端安全管理系统升级，终端安全防护，终端安全防护扩容服务，终端安全管理平台，终端安全管理系统，端点保护市场,edr运营体系， 终端防户能力，全网管控，电脑终端防护需终端安全管理windows版求。xdr,edr，信息安全软件 火绒 windows PC 版（10用户起订），火绒安全 终端管理系统Windows V2.0，

杀毒软件：

信息安全软件 ，企业杀毒软件，网络安全病毒防治与安全加固服务项目，火绒杀毒软件，火绒杀毒，网络版防病毒软件