竹节虫:暗藏在常用工具软件中的后门
字数 1240 2025-08-18 11:37:07

竹节虫恶意软件分析报告与防御指南

一、概述

"竹节虫"是一系列伪装成常用工具软件的恶意程序家族,由重庆某公司开发并传播。这些软件表面提供解压、PDF阅读等功能,实则包含强大的后门功能,能够执行远程代码、窃取信息、刷流量牟利等恶意行为。

二、技术分析

1. 传播方式

  • 伪装成"解压工具"、"文档阅读器"等常用软件
  • 通过大量下载站和简单设计的"官方网站"传播
  • 示例软件:"极客压缩"(下载量达308万次)、"优选PDF阅读器"等

2. 恶意行为机制

  1. 初始感染

    • 安装后静默调用更新进程(如YouPdfUpdate.exe)
    • 从远程服务器获取加密的动态链接库(如update.yyp)

  2. 核心功能模块

    • 内置Lua虚拟机执行恶意脚本
    • 实现121个功能API,包括:
      • 下载执行任意程序
      • 结束进程
      • 修改注册表
      • 向连接的手机安装APK
      • 修改浏览器主页
      • 本地提权

  3. 逃避检测技术

    • 注册多个数字签名绕过安全软件检测
    • Lua脚本跳过"北京"、"上海"、"广州"、"深圳"、"珠海"五大城市执行
    • 利用事件查看器漏洞绕过UAC防御(修改注册表HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command)

3. 通信机制

  • http://config.younoteba.top/src/youpdfu.html下载执行Lua脚本
  • 解密后的脚本功能:
    • 发送机器信息到作者服务器
    • 设置进程自身退出时间
    • 下载XML配置文件
    • 根据配置执行篡改主页、软件推广等操作

三、主要恶意功能

1. Lua脚本核心函数

  1. DoBiz函数

    • 检测引擎版本
    • 判断配置文件可写性
    • 检测是否用户管家下载
    • 判断用户点击了意见反馈
    • 下载配置
    • 执行迷你页
    • 过滤进程及地区
    • 执行富媒体

  2. InstallCpa函数

    • 推广软件安装条件检测
    • 软件下载与安装

  3. SetHomepage函数

    • 通过注册表篡改浏览器主页

2. 同源性分析

  1. 相似的安装界面

    • 优选PDF阅读器与迅捷便签等软件使用相同风格的安装界面

  2. 相似的官网设计

    • 页面布局、语言描述高度一致
    • 使用相同的技术框架开发多款"工具软件"

四、防御建议

1. 普通用户防护措施

  • 从官方可信渠道下载软件
  • 安装前检查软件数字签名
  • 注意软件安装过程中的异常行为
  • 定期使用安全软件进行系统扫描
  • 发现电脑异常(如主页被改、性能下降)立即检查

2. 企业防护措施

  • 加强软件下载和升级管理
  • 部署网络通信行为分析系统
  • 限制非必要程序的执行权限
  • 定期审计终端设备安装的软件

3. 下载站与分发渠道责任

  • 加强软件审核机制
  • 对上传的软件进行恶意代码检测
  • 建立软件黑名单制度
  • 及时下架已发现的恶意软件

五、总结

"竹节虫"类恶意软件代表了当前一类新型威胁:表面提供合法功能,实则包含复杂后门。这类软件利用用户对常用工具的信任,实施长期潜伏和持续获利。防御此类威胁需要用户提高安全意识、企业加强管控、分发渠道履行审核责任的多方协作。

竹节虫恶意软件分析报告与防御指南 一、概述 "竹节虫"是一系列伪装成常用工具软件的恶意程序家族,由重庆某公司开发并传播。这些软件表面提供解压、PDF阅读等功能,实则包含强大的后门功能,能够执行远程代码、窃取信息、刷流量牟利等恶意行为。 二、技术分析 1. 传播方式 伪装成"解压工具"、"文档阅读器"等常用软件 通过大量下载站和简单设计的"官方网站"传播 示例软件:"极客压缩"(下载量达308万次)、"优选PDF阅读器"等 2. 恶意行为机制 初始感染 : 安装后静默调用更新进程(如YouPdfUpdate.exe) 从远程服务器获取加密的动态链接库(如update.yyp) 核心功能模块 : 内置Lua虚拟机执行恶意脚本 实现121个功能API,包括: 下载执行任意程序 结束进程 修改注册表 向连接的手机安装APK 修改浏览器主页 本地提权 逃避检测技术 : 注册多个数字签名绕过安全软件检测 Lua脚本跳过"北京"、"上海"、"广州"、"深圳"、"珠海"五大城市执行 利用事件查看器漏洞绕过UAC防御(修改注册表 HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command ) 3. 通信机制 从 http://config.younoteba.top/src/youpdfu.html 下载执行Lua脚本 解密后的脚本功能: 发送机器信息到作者服务器 设置进程自身退出时间 下载XML配置文件 根据配置执行篡改主页、软件推广等操作 三、主要恶意功能 1. Lua脚本核心函数 DoBiz函数 : 检测引擎版本 判断配置文件可写性 检测是否用户管家下载 判断用户点击了意见反馈 下载配置 执行迷你页 过滤进程及地区 执行富媒体 InstallCpa函数 : 推广软件安装条件检测 软件下载与安装 SetHomepage函数 : 通过注册表篡改浏览器主页 2. 同源性分析 相似的安装界面 : 优选PDF阅读器与迅捷便签等软件使用相同风格的安装界面 相似的官网设计 : 页面布局、语言描述高度一致 使用相同的技术框架开发多款"工具软件" 四、防御建议 1. 普通用户防护措施 从官方可信渠道下载软件 安装前检查软件数字签名 注意软件安装过程中的异常行为 定期使用安全软件进行系统扫描 发现电脑异常(如主页被改、性能下降)立即检查 2. 企业防护措施 加强软件下载和升级管理 部署网络通信行为分析系统 限制非必要程序的执行权限 定期审计终端设备安装的软件 3. 下载站与分发渠道责任 加强软件审核机制 对上传的软件进行恶意代码检测 建立软件黑名单制度 及时下架已发现的恶意软件 五、总结 "竹节虫"类恶意软件代表了当前一类新型威胁:表面提供合法功能,实则包含复杂后门。这类软件利用用户对常用工具的信任,实施长期潜伏和持续获利。防御此类威胁需要用户提高安全意识、企业加强管控、分发渠道履行审核责任的多方协作。