“易语言”偷跑流量恶意软件分析

0×01前言

现今由于易语言的出现，中文编程的门槛越来越低，虽然很多人对此不屑一顾，但不得不说，这门语言的出现，大大降低了黑产行业的门槛。易语言编写简单，入门快，再加上各种易模块，使得简单几行代码就能实现一些强大的功能。据不完全统计，90%以上的游戏辅助和各类抢购软件都出自易语言开发，大量恶意程序也出自易语言之手。早在2011年亚洲反病毒大会上，微软工程师JIM就针对易语言程序的逆向进行了演讲，使得易语言程序的分析变得简单。笔者搜集了部分相关资料，通过对易语言程序结构的学习，分析了一款刷流量的恶意软件。

0×02运行效果

该程序伪装为IE图标，运行后窗口被隐藏起来，通过PCHunter把程序窗口隐藏属性去掉，效果如下图。

0×03基本流程

该程序的窗口在启动时被隐藏起来，通过定时器访问C&C地址，跳转到各类推广连接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口，该程序通过枚举窗口检查后，通过模拟点击关闭这些窗口。

0×04详细分析

该程序是易语言程序，通过分析易语言程序的结构得知，包含一个窗口、4个定时器、3个浏览器控件、一个选择框和一个编辑框。易语言窗口程序只需要分析它控件回调即可。

1.窗口初始化功能

该程序获取系统中的所有进程。

检查进程列表中是否有包含“qq”字符串的应用程序。

结束掉所有QQ进程。

InlineHook “waveOutWrite”、”midiStreamOut”、”DirectSoundCreate”、”InternetReadFile”这4个函数，让程序保持静音。

开启4个定时器，第一个定时器为5秒执行一次，后面3个定时器是随机时间

设置随机数种子，并取随机数

设置3个定时器随机时间间隔。

2.定时器1

使用易语言 超文本浏览框.跳转 对3个浏览器控件访问下面的URL，这些URL会随机访问各类推广网站，比如赌博、黄色、游戏推广、营销推广连接等。

 ”http://www.sunshoo.com/10001.html“

 ”http://www.0571jihao.com/reyu.html“

 ”http://www.bangyuanhome.com“

 ”http://www.sunshoo.com/10002.html“

 ”http://www.0571jihao.com/eqsythjkl.html“

3.定时器2

查找所有的QQ加群窗口。

枚举QQ加群窗口的所有子窗口。

检查子窗口的标题是否是如果“离开”或者“确定”

激活子窗口，通过发送按键消息，模拟点击空格键，关闭加QQ群的窗口。

同样的方法还对其他类似的弹出窗口进行模拟点击取消。

4.定时器3

清理IE缓存

5.定时器4

关闭所有QQ进程。

0×04总结

该程序结构清晰，在定时器访问C&C地址，跳转到各类推广链接中。部分推广连接中包含有添加QQ群、下载文件和一些弹出窗口，该程序通过枚举窗口检查后，通过模拟点击关闭这些窗口，使得用户无法察觉。但由于部分弹出窗口没有被及时关闭，使得自身浏览器控件被占用，系统便打开默认浏览器跳转到目标链接。最终变成每隔一段时间自动打开浏览器并跳转到广告页中。