威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

你是否知道有这样一种银行木马qq安全组件 ？

擅长以恶意邮件为载体

来窃取财务凭证等重要信息

横行霸道十余载

仍在不断进化

键盘记录、后门功能和逃避检测

均不在话下

让qq安全组件 我们一起揭开Qakbot的邪恶面纱

关于Qakbot

Qakbot银行木马通常是通过电子邮件附件传播，一旦受害者点击邮件附件，QAKBOT就会安装到受害主机上，收集受害主机上的信息并上报C&C服务器qq安全组件 。近日，亚信安全截获了携带QAKBOT木马的最新电子邮件样本，与以往不同的是，此次截获的电子邮件带有一个HTML文件附件，采用了HTML偷渡技术有效规避杀软检测，可以帮助攻击者将恶意的有效载荷隐藏在看似正常的HTML文件中，来规避内容过滤器和防火墙的检测，从而进行恶意代码分发。

攻击流程

亚信安全产品解决方案

码版本17.881.60qq安全组件 ，云病毒码版本17.881.71，全球码版本17.881.00已经可以检测，请用户及时升级病毒码版本；

亚信安全DDAN沙盒平台可以检测该木马的恶意行为：

安全建议

全面部署安全产品qq安全组件 ，保持相关组件及时更新；

不要点击来源不明的QQ文件、邮件、附件以及邮件中包含的链接；

请到正规网站下载程序；

采用高强度的密码qq安全组件 ，避免使用弱口令密码，并定期更换密码；

尽量关闭不必要的端口及网络共享；

病毒详细分析

我们以最新截获的电子邮件为例进行分析，该电子邮件携带一个HTML文件附件（FXS_6027130.html），用户一旦下载该HTML附件，并在浏览器中打开，就会下载一个有密码保护的ZIP档案（FXS_6027130.zip），解压密码会显示在浏览器中，该ZIP文档则包含一个ISO文件qq安全组件 。

打开下载的html文件进行分析，我们发现，zip档案通过编码的形式存储在JavaScript变量中，用户打开html文件后javascript代码自动运行，将编码的信息还原然后弹出下载框，用户点击ok后，就会将zip档案保存到用户指定的位置qq安全组件 。

解压下载好的zip档案，里面包含一个ISO文件qq安全组件 。直接装载此ISO文件，用户只会看到一个LNK快捷方式，其他的文件均是隐藏文件。

我们用7zip打开ISO文件后，才能发现其他隐藏的文件qq安全组件 。

用户双击这个快捷方式会运行隐藏的恶意文件qq安全组件 。

QAKBOT LOADER --WMK9.DAT分析

该loader是一个dephi程序，运行后进行解密操作，在内存中解密出QAKBOT本体然后跳转执行qq安全组件 。

解密出的QAKBOT本体是C++编译的 Dll文件qq安全组件 。

QAKBOT DLL文件分析

运行后首先通过API GetFileAttributes检查C:\INTERNAL\__empty属性，如果API返回失败则会退出运行qq安全组件 。

判断环境变量SELF_TEST_1 的状态，来决定是否继续执行恶意例程qq安全组件 。

环境变量检查通过后，创建一个新线程执行恶意例程qq安全组件 。

线程执行后检测杀软进程qq安全组件 。

创建傀儡进程explorer.exeqq安全组件 。

进程注入qq安全组件 。

创建计划任务达到持久化目的：

其中的编码解码后如下：

regsvr32.exe "C:\Users\Administrator\AppData\Local\Temp\S6SQEQ6\WMK9.DAT.dll"

将本机信息发送给远程C&C服务器：