逆向追踪远控作者

国外大牛继续发力,人肉追踪了PlugX RAT的作者.

主要利用Microsoft Office的漏洞CVE-2012-0158,当用户打开这些攻击邮件附件时,就会因为CVE-2012-0158漏洞中招

并下载三个文件：Nvidia执行文件NvSmart.exe,DLL文件 (NvSmartMax.dll) 和一个二进制文件(boot.ldr).




赛门铁克也曾经分析报道过：http://www.symantec.com/connect/blogs/tibetan-themed-malware-subverts-legitimate-application.

似乎NvSmart.exe文件是被Nvidia签名的,有些Nvidia应用会用到这文件.一旦执行,就会导入DLL文件NvSmartMax.dll,而这个dll文件是黑客修改过的

会执行boot.ldr文件内的二进制代码即真正的恶意代码.因为NvSmart.exe被配置为开机启动,而且又有数字签名,因此它可以绕过检测.从而使得恶意代码可以

在系统启动时被执行.研究人员经常在boot.ldr文件里发现了名为PlugX的远控工具,研究人员一直跟踪这些PlugX二进制文件,从中提取了一些调试路径：

Hash: c1c80e237f6fbc2c61b82c3325dd836f3849ca036a28007617e4e27ba2f16c4b Debug Path: d:\work\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h Compilation date: 6/17/2012 16:44:58         Hash: 1a091c2ddf77c37db3274f649c53acfd2a0f14780479344d808d089faa809a_HHDL’s Birthday Celebration.doc Debug Path: d:\work\Plug3.0(Gf)UDP\Shell6\Release\Shell6.pdb Compilation date: 6/17/2012 16:44:58         Hash: 42813b3a43611efebf56239a1200f8fc96cd9f3bac35694b842d9e8b02a Debug Path: d:\work\plug4.0(nvsmart)\shellcode\shellcode\XPlug.h Compilation date: 5/26/2012 7:16:08         Hash: 28762c22b2736ac9728feff579c3256bd5d18bdfbf11b8c00c68d6bd905af5b8 Debug Path: d:\work\plug3.1(icesword)\shellcode\shellcode\XPlug.h Compilation date: 6/14/2012 6:06:00



于是研究人员继续从收集到的恶意文档里,找寻这些不同版本的PlugX.结果发现了这次人肉的关键线索“WHG”
Hash: 3b01677582e7a56942a91da9728c6251- financial_report.exe Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 6/17/2012 16:44:58         Hash: 60ee900d919da8306b7b6dbe7e62fee49f00ccf141b2e396f5a66be51a00e34f Debug Path: C:\Documents and Settings\whg\\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 2012-03-12 07:04:12         Hash: c00cd2dcddbb24383a3639ed56e68a24dc4561b1248efa4d53aa2b68220b4b2a Debug Path: C:\Users\whg\Desktop\Plug\FastGui(LYT)\Shell\Release\Shell.pdb Compilation date: 3/12/2012 14:23:58



很明显是Windows XP、Windows 7系统下的用户名.于是研究人员顺藤摸瓜,查找有类似调试路径信息的二进制文件,研究人员在无花果-编程驿站www.cnasm.com找到了一个名为SockMon的软件（网络监视工具）
C:\Users\whg\Desktop\SockMon2011\SockMon\UnitCache.pas C:\Documents and Settings\whg\SockMon2010\RunProtect\Release\RunProtect.pdb C:\Documents and Settings\whg\\SockMon2010\SmComm\Release\SmComm.pdb



还有一个名为vtcp开发包（http://www.cnasm.com/vtcpsdk/）的库文件的debug路径

C:\Users\whg\Desktop\vtcp11.0lib\vtcpT0\UnitMain.pas（当然这个关键的一步,关联起来似乎有些牵强,比较结合国情看,刚好有个叫WHG的人也不是不可能） 通过软件所在网站cnasm.com找到了以下联系信息：

email：whg0001 at 163.com QQ：312016



研究人员继续人肉发现chinansl.com在2000年的注册信息：
Domain Name      : chinansl.com PunnyCode        : chinansl.com Creation Date    : 2000-08-08 00:00:00Updated Date     : 2012-02-29 11:26:22Expiration Date  : 2013-08-08 00:00:00
登记信息：
Organization   : chinansl technology co.，itd Name           : lishiyun Address        : Room E8BC , XiangFu Garden , 3rd Southern portion of 2nd ringroad , Chengdu , Si City           : chengdushi Province/State : sichuansheng Country        : china Postal Code    : 610041    Administrative Contact: Name           : Organization   : chinansl technology co.，itd Address        : City           : chengdushi Province/State : sichuansheng Country        : china Postal Code    : 610041Phone Number   : Fax            : 086-028-85459578Email          : [email protected]     公司情况： Company Name: CHINANSL TECHNOLOGY CO.,LTD. Address: Chengdu National Information Security Production Industrialization Base , 2nd Floor ,No.8 Chuangye   Road Telephone: 02866853362Custom Code: 5101730218773Company Code: 730Account-opening Bank: Xisanqi Sub-branch, Beijing Branch, Bank of China Account Name: Beijing Lingtong Economic Consulting Co., Ltd Account Number: 813715881608091001



研究人员还翻了nfocus的05年的一个老帖子–《国内知名黑客人物与安全界高手联系方法》上面写道：

whg：[email protected] 游民 病毒高手 对病毒很有研究的甚至在CSDN网站上找到了whg0001的大头照.

（可能研究人员也觉得通过whg来关联有点牵强） 于是研究人员在更多的远控软件PlugX样本中发现了以下debug信息：


1 i:\work\plug2.0()\shellcode\shellcode\XPlug.h
以及一个url：


1 http://tieba.baidu.com/f?kz=866965377
打开后看到whg0001在2010-08-21 15:27的发了几个字符。如图：
最后研究人员表示：以上举证起码证明whg跟PlugX开发有关.