據(jù)調(diào)查，“大灰狼”遠(yuǎn)控長期以來一直處于不斷更新、升級(jí)的狀態(tài)。近日，安天追影小組通過威脅感知平臺(tái)發(fā)現(xiàn)一類“大灰狼”遠(yuǎn)控樣本，該樣本的C2連接方式較為新穎，以第三方ip查詢的方式來實(shí)現(xiàn)DNS的功能，以達(dá)到突破域名檢測(cè)的目的，同時(shí)控制端使用的是免費(fèi)二級(jí)域名gnway.cc，為追蹤黑客身份增加了難度。

       安天追影小組在對(duì)其初步分析中發(fā)現(xiàn)，該樣本會(huì)連接控制端下載文件“NetSyst81.dll”，該文件是“大灰狼”遠(yuǎn)控的典型文件。同時(shí)，該樣本有自復(fù)制為常見系統(tǒng)進(jìn)程名、自刪除、修改注冊(cè)表、設(shè)置自啟動(dòng)、通過CMD隱藏刪除自身、創(chuàng)建可疑進(jìn)程、設(shè)置調(diào)試器權(quán)限、檢查攝像頭、連接網(wǎng)絡(luò)、查找殺軟件相關(guān)進(jìn)程等行為。

       對(duì)該樣本進(jìn)行網(wǎng)絡(luò)分析后可發(fā)現(xiàn)，其網(wǎng)絡(luò)行為中有連接某個(gè)QQ號(hào)空間的行為。通過對(duì)該QQ號(hào)的查找、分析發(fā)現(xiàn)，該QQ號(hào)的關(guān)聯(lián)帳號(hào)，近期在一些黑客論壇上購買過“大灰狼”遠(yuǎn)控。所以該QQ號(hào)的所有者很有可能是該樣本的制作者。

       樣本行為 ：

       1. 樣本運(yùn)行后，會(huì)創(chuàng)建多個(gè)進(jìn)程，自復(fù)制為常見的系統(tǒng)進(jìn)程名servise.exe并自刪除原樣本。
       2. 設(shè)置開機(jī)自啟動(dòng)，修改注冊(cè)表路徑HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
       3. 網(wǎng)絡(luò)連接通過ip.cn作為中轉(zhuǎn)DNS，查找控制端域名的IP地址，其中控制端域名為免費(fèi)二級(jí)域名，本機(jī)與控制端通信下載文件“NetSyst81.dll”后訪問某QQ空間兩次，推測(cè)該行為是為了以QQ空間昵稱為遠(yuǎn)控上線方式，經(jīng)過對(duì)該QQ號(hào)的關(guān)聯(lián)搜索發(fā)現(xiàn)，該QQ號(hào)532****的所有者很有可能是該樣本的作者（修改大灰狼源碼的作者）。
       4. 樣本隨后有設(shè)置調(diào)試器、檢查攝像頭、查找殺軟等行為。

       “大灰狼”遠(yuǎn)控有著較長久的歷史，其軟件更新?lián)Q代較快，在搜索引擎中搜索該關(guān)鍵字，會(huì)出現(xiàn)大量的該遠(yuǎn)控的源碼及生成器售賣，并且以免殺、破解來吸引用戶，但大部被修改過的源碼都會(huì)留有后門，所謂“螳螂捕蟬，黃雀在后”。為了預(yù)防該惡意樣本，安天追影小組建議用戶盡量在官網(wǎng)下載程序，不要隨意打開不明鏈接。