流氓软件卸载后仍留恶意模块 通过云控服务器随时“复活”

注册表相关信息

驻留的QiaoZipRMExtern.dll模块，会对自己当前所在进程是否是explorer.exe进行判断，如果是，则通过注册表键“eysTime”来查询程序上次运行时间戳，相关代码如下图所示：

查询当前所在进程并获取上次运行时间戳

注册表相关键值信息

当获取上次运行时间戳成功后，会与当前系统时间进行运算比较。如果上次运行时间距离当前系统时间大于30分钟，则程序继续向下运行，否则继续等待。相关代码如下图所示：

程序上次运行时间与当前系统时间进行运算比较

当满足上述时间差条件后，程序会通过注册表键“uishP”获取QiaoZipSvcHost.exe的所在路径。获取成功之后，则会拼接运行参数“-startby=2”来执行QiaoZipSvcHost.exe。最后，获取当前时间并更新注册表“eysTime”的键值，相关代码如下图示：

通过注册表键“uishP”获取QiaoZipSvcHost.exe所在路径

注册表相关键值信息

启动QiaoZipSvcHost.exe并更新“eysTime”键值

QiaoZipSvcHost.exe下载器

QiaoZipSvcHost.exe被调用后会将本地系统信息上传到C&C服务器，请求地址如：hxxps://g.qiaoya.xsfaya.com/?r=/v2/api/config/wheel&category=0&manager=1&os=5&parent=1&qid=1&softid=17&uninstalled=1&vd=8&version=1.0.0.0&x64=1，请求会上传用户的系统版本、软件卸载状态、软件版本等信息。服务器在接到请求后，会反馈下载相关配置数据。请求相关代码，如下图所示：

请求链接构造

请求远程配置

服务器下发的配置数据为json格式，现阶段我们截获到的配置数据已经没有相关的下载配置，但是我们不排除将来相关配置放开下发可执行模块的可能性。但是服务器依然可以访问，现阶段我们请求到的配置，如下图所示：

现阶段我们截获到的配置数据

在服务器配置放开下发的情况下，QiaoZipSvcHost.exe会根据下载配置中的链接地址下载指定模块到本地执行，相关代码如下图所示：

下载远端文件

执行从远端下载到的可执行文件，相关代码如下图所示：

执行从远端下载的可执行文件

三、附录

样本hash

本文素材来自互联网

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!