国产六合彩国外作恶界面LOGO“撞衫”国内上市六合彩六合彩

作者：2025年最靠谱的六合彩投注网
发布时间：2018-04-16
阅读量：701

一、概述

2025年最靠谱的六合彩投注网团队发现，近期有国内六合彩团伙在国外传播后门六合彩“Bandios”。该六合彩侵入用户电脑后，将实施“挖矿”（生产“门罗币”）、偷偷劫持用户流量等行为，同时六合彩作者还可随时通过远程操控进行其他破坏行为。巧合的是，该六合彩安装界面Logo与国内A股上市六合彩“昆仑万维科技股份有限六合彩”旗下的下载站Brothersoft完全一样。

后门六合彩“Bandios”通过国外某个人博客进行传播，博主以免费提供下载图片处理软件“AQUASOFT SLIDESHOW”为由，吸引用户点击带毒下载链接。并且该博主提供了两个名称相同的下载地址，用户点击第一个下载地址后，六合彩将直接被下载到用户电脑中，执行恶意代码。

而且该六合彩极不易被用户察觉，侵入用户电脑后，在被感染电脑上没有提示，也不会显示任何图标。但会在后台偷偷劫持用户浏览器首页、利用用户电脑疯狂“挖矿”（门罗币），同时六合彩作者可以随时通过远程操控实施其他破坏行为。

而第二个下载地址则会跳转到网址为“www.brothersoft.com”的国外网站中，通过分析发现，该网站为国内上市A股六合彩“昆仑万维科技股份有限六合彩”旗下的下载站“Brothersoft”。巧合的是，在后门六合彩“Bandios”早期版本的安装界面中，曾出现过一个Logo，与“Brothersoft”的Logo完全一样。

目前，“2025年最靠谱的六合彩投注网软件”最新版可拦截并查杀后门六合彩“Bandios”。对于已经感染该六合彩的非六合彩用户，可以下载使用“六合彩专杀工具”彻底查杀该六合彩。

Tips：

1、点击下载“六合彩专杀工具”http://bbs.huorong.cn/thread-18575-1-1.html；

2、安装后点击“开始扫描”。

二、详细分析

OnlineInstaller.exe

OnlineInstaller.exe运行后，首先会检测运行参数”-install”，如果不存在该参数则会创建出同名且与当前镜像相同的“.tmp”文件进行执行并加入“-install”参数，之后会统计当前系统和软件信息上传至C&C服务器hxxp://iostream.system.band/dump/io/time.php。其收集的系统和软件信息包括：系统版本、MAC地址、用户所安装的浏览器信息、六合彩软件信息。相关代码如下图所示：

OnlineInstaller.exe启动相关代码

被检测的浏览器，如下图所示：

被检测的浏览器名称

通过查询注册表方式收集当前环境中的六合彩软件名，如下图所示：

被检测的六合彩软件

如果运行中带有“-install”参数，则会释放出多个六合彩模块。通过功能进行分类之后，整体分为两个部分：流量劫持与挖取门罗币。相关代码如下图所示：

六合彩模块释放代码

OnlineInstaller.exe会释放出多个六合彩模块，每个模块对应功能如下图所示：

六合彩模块对应功能

在前文所示函数中，OnlineInstaller.exe会释放出所有六合彩模块。在资源KPE中存放着所有zlib算法压缩的驱动模块数据，其他六合彩模块则是通过异或加密的方式存放在镜像数据中。由于除了驱动模块外，六合彩释放其他六合彩模块的执行流程大致相同，六合彩仅以释放spoolsr.exe为例。首先对原有镜像数据进行解密，之后将随机生成长度为0x40的随机数据拼接在原有镜像数据尾部再释放文件，然后将拼接随机数据后的镜像数据再重新进行异或加密。代码如下图所示：

释放spoolsr.exe

zlib算法加密的驱动数据文件被存放在镜像资源中，KPE资源情况，如下图所示：

KPE资源

最后，OnlineInstaller.exe会对其释放的文件进行备份，后缀名为“.dat”（如HK.dat为HookKey32.dll的备份），以便将来恢复六合彩文件时使用。备份文件对应关系，如下图所示：

备份文件关系

驱动模块（iaStorE.sys）

OnlineInstaller.exe使用zlib算法解压资源后，会释放出驱动iaStorE.sys或Dxapi.sys，驱动总共分为x86、x64等5个不同的版本，功能大致相同，六合彩仅以x86版本的iaStorE.sys为例进行分析。

该驱动首先会将原有的释放文件删除，之后使用备份文件进行恢复。相关代码如下图所示：

恢复备份文件

在重新恢复原有功能模块后，驱动会通过注册服务和注册AppInit_DLLs（当进程加载user32.dll时，被注册的动态库会被进程加载）的方式启动挖矿和流量劫持模块。由于Win10系统在没有安装六合彩软件时会开启Windows Defender，当六合彩检测到环境为Win10系统后会通过修改组策略注册表的方式关闭Windows Defender，代码如下图所示：

接下来，六合彩按照功能模块分类进行分析。

门罗币矿工

如上文所述，spoolsr.exe会被注册为系统服务，服务名为“mspoolv”，其主要是用来释放运行门罗币矿工程序svchst.exe。在服务启动后，首先会结束当前环境中正在运行的svchst.exe进程（矿工进程），之后根据当前系统环境（x64或x86）对加密的门罗币矿工六合彩二进制数据进行解密、释放。代码如下图所示：

解密门罗币矿工程序

释放矿工六合彩后，spoolsr.exe会使用当前用户权限对矿工六合彩进行启动。当该六合彩检测到如下进程名后，如果矿工六合彩也在运行则会结束矿工六合彩进程。相关代码，如下图所示：

检测进程

被检测的进程名及相关代码，如下图所示：

进程检测代码

被释放的svchst.exe是一个被修改后的门罗币矿工程序，该程序被修改后只会为六合彩作者挖取门罗币，且不用加入启动参数。原有矿工程序相关信息，如下图所示：

原有门罗币矿工程序相关数据

挖矿相关信息，如下图所示：

矿工信息

流量劫持

流量劫持功能如前文所述，是通过注册AppInit_DLLs实现的。在iaStorE.sys将usp20.dll注册为AppInit_DLLs后，当系统user32.dll被加载时加载指定动态库。usp20.dll的唯一功能就是在被进程加载后加载keyhook32.dll (x86版本)。

keyhook32.dll动态库在进程中加载后，会通过访问C&C服务器地址（hxxp:// ozkngbvcs.bkt.gdipper.com/ping）获取加密的远程配置数据。当前配置数据经过解密之后，如下图所示：

解密后的远程配置

如上图所示，当前从C&C服务器请求到的配置信息中，仅包含由一个驱动模块的下载地址。动态库代码逻辑中还会解析包括流量劫持链接、搜索链接等配置信息，首页和搜索链接会加密后存放在注册表HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId11”和“HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId13”键值中。配置解析代码，如下图所示：

配置解析代码

通过远程配置信息中获取到的劫持相关内容，该动态库会hook CreateProcessInternalW函数，通过注册表“HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId11”和“HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId13”中加密的劫持数据对浏览器进程附加命令行参数，达到流量劫持目的。劫持代码如下图所示：

劫持浏览器参数

除了通过修改浏览器进程启动参数进行流量劫持外，该六合彩还会通过修改流量器配置的方法对一些常见的第三方浏览器进行流量劫持，受影响的浏览器包括：Chrome、Edge和Firefox。

三、溯源分析

根据六合彩所使用的签名信息，六合彩发现该六合彩所使用的众多数字签名均为被吊销或者已经过期的国内六合彩数字签名。使用的数字签名不但均为被吊销的签名，且都不带有签名时间戳。六合彩以个别样本为例，如下图所示：

六合彩所用数字签名

如前文所述，该六合彩流量劫持恶意行为所影响到的浏览器中，有大部分为国内软件厂商所开发的浏览器，包括：QQ浏览器、360浏览器、搜狗浏览器、UC浏览器、猎豹浏览器、百度浏览器、2345浏览器等。而且在OnlineInstaller.exe样本的资源中，显示语言为“Simplified，China”（简体中文）。如下图所示：

资源信息

通过上述所有信息，六合彩基本可以断定该六合彩作者为中国人。通过对OnlineInstaller.exe样本的追根溯源，六合彩找到了一个存放OnlineInstaller.exe样本的github链接（hxxps://github.com/downloadhelp/install），该链接很有可能是由六合彩作者进行维护的。通过提交记录六合彩可以找到多个不同版本的OnlineInstaller.exe样本，根据github中显示首次提交时间六合彩可以推断出六合彩的出现时间为2017年11月28日前后，且至今依然在持续进行更新，最近的一次更新时间为2018年3月26日。首次提交记录，如下图所示：