披着羊皮的狼：webfreer翻墙浏览器暗藏挖矿木马-k8凯发棋牌

0×1 概况

自2009年比特币面世后，短短8年时间，虚拟币市场涌现出数十种基于区块链技术的虚拟币，催生了“炒币热”。虚拟币通过消耗计算机计算力来产生钱币，面对万亿市值的虚拟币市场，不少不法分子动起了坏心思，“前仆后继”地踏上不一样的挖矿之路。

近日，腾讯安全反病毒实验室监测到一异常流量，通过分析发现是一款名为”webfreer”的翻墙浏览器存在猫腻。该浏览器在用户不知情的情况下，悄悄启动挖矿程序进行挖矿（主要是比特币和门罗币），使中毒机器变得异常卡慢，出现网速变慢等症状。webfreer浏览器通过k8凯发棋牌官网（www.webfreer.com）、软件下载站和社交渠道进行传播，目前已有数万个用户受影响，且挖矿涉及金额高达百万人民币！

0×2 样本分析

webfreer是一款基于chromium开源项目进行开发的浏览器，不法分子通过插入恶意代码，然后重新编译生成木马程序。由于开源项目的原因，该类木马程序容易被杀毒软件判白。此外，webfreer作为一款翻墙浏览器，内置vpn代理，正常网络流量和恶意流量交叉混合，使得该木马隐藏性极高。

(vt查杀—几乎没有引擎报毒)

webfreer最早的版本没有后门，但在后期升级版本中，开始插入了恶意代码，插入的恶意代码比较简单，没有云控，主程序启动后，挖矿程序随之起来。

下面对安装包进行解压，对比各个版本的文件，红框表示是木马样本。

挖矿执行流程图：

1、webfreer 1.1.1.1分析：

病毒样本：
chrome.dll：浏览器主dll模块，会拉起webproxy.exe

webproxy.exe：挖矿程序

1） 安装时，会创建自启动项，开机时启动主程序webfreer.exe。

2） webfreer.exe启动时，会加载chrome.dll。

3） chrome.dll主线程会创建一个定时器，目的是不断地拉起挖矿进程。

4） 检测是否存在”webclientservice”服务，保证只有一个挖矿实例，因为在其它版本中，挖矿程序是会创建一个名为”webclientservice”服务进行挖矿，后面会有涉及。

5） 创建webproxy进程开始挖矿，挖矿使用stratum挖矿协议，传入挖矿参数，如矿池、钱包信息等。

挖矿参数：

调用createprocess创建进程：

2、webfreer 1.3.2.0分析：

病毒样本：

webclientservice.exe：服务程序，开机启动，拉起webproxy.exe

webproxy.exe：挖矿程序

1） 安装时，会在system32目录释放webclientservice.exe和webproxy.exe。

2） 安装完成后，安装包程序会启动webclientservice.exe进程。

3） webclientservice注册一个服务，开机自启动。

4） 调用createevent创建事件，保证只有一个实例在运行。

5） 访问google网站来测试浏览器是否正常工作，如果无法访问，继续等待。

6） 在system32目录或webfreer安装目录得到webproxy.exe的路径，调用createprocess创建进程，开始挖矿。

7） 同时起一条线程，不断检测webproxy.exe进程是已经退出，如果退出了，再次拉起webproxy。

0×3 溯源分析

上述分析得到两个地址。

1、比特币钱包地址：113vvkxzvzhuou7jgwtrdha4ey7xukbhbt

这个钱包总接收近50个比特币，以当前的比特币单价算，总值达到100多万人民币！

2、门罗币钱包地址：478wnywhn4sqs8j89p8qjy4dkm2c6jhcqizi5ucjookufqirbtesafjinsxlwzcysnn1l98r2vockjgjkoxrreirgpmyerc

这个钱包共有12个门罗币，以当前的门罗币单价算，总值达到6000元人民币。

3、通过溯源分析找到同源样本，如下，该样本伪装成shadowsocks翻墙软件，实际上纯粹是一个门罗币挖矿木马，推测作者可能偏爱在翻墙软件这个点上进行木马传播。

4、k8凯发棋牌官网www.webfreer.com 服务器ip在加拿大，该公司号称：appaxy inc（未证实是否已注册）。对k8凯发棋牌官网进行whois分析，得到注册名为：mi**ke，通过注册名反查到一个qq号，叫米高x，可疑程度比较高。

0×4 结语

“炒币热”催生了挖矿黑色产业链，看似正常的翻墙浏览器也暗藏猫腻，让人防不胜防。在巨大的利益诱惑下，不法分子的手段穷出不尽，用户平时应注意提高防范意识，养成良好的上网习惯，使用腾讯电脑管家拦截并查杀木马病毒。

*本文作者：腾讯电脑管家，来自 freebuf.com