下载器又惹祸:独狼病毒再度寄生

时 间:2019-11-06 09:18    

    

  近期毒霸安全团队再次到一起病毒活动,数据显示本次的病毒源头为“多特下载器”,分析后我们确认该下载器静默推送的”多点检测”暗藏后门,被用来推广病毒和软件。其代码结构逻辑和我们之前报道过的“乱舞:五大国产病毒家族的收割”一文中的“速搜”高度相似,可以确认为同一团伙所为。

  本次主要行为是通过三次云控机制推送独狼(幽虫)和QQ蠕虫病毒,以及推广软件,劫持用户主页流量牟利。本次被迅速捕获,目前还处于铺量阶段,但是通过其内部访问的统计页显示日感染量已接近1万,感染病毒重灾区分布在山东,江苏,河南,还有上升趋势。

  本次病毒通过监测发现来自多特下载站的下载器,此类下载器属于“三无产品”:无签名、无版本、无厂商信息,但都有云端配置,每次启动后会获取云端配置,根据配置规则展示用户可推广的软件。这些配置可随时更新,即使被发现病毒只要更改云端配置也就无法,隐蔽性极强违法成本也极低。站点在推广软件时并不会去审核被推广软件是否安全,其界面标榜的杀毒检测通过都是虚假的。配置中为每个推广软件定制了一套私有规则,“filter_process”字段决定了需要规避的进程名,“silent”字段为静默安装的命令,如果本身为静默包则为空,以本文中的“多点检测”为例其安装配置过滤360进程和网吧客户端管理进程,本身为静默安装包。

  “多点检测”安装包在安装过程中会一个服务模块YjService.exe,该服务模块启动前会判断用户,是否有网吧客户端进程,是否有Tencent注册表项以确认是一个有效用户。YjService.exe启动后同样会再次检测上述用户,通过创建定时器设置2小时后触发,定时器触发后获取云端后门模块URL,经过解密后的返回数据:

  netpipe.exe得到执行后会再次进行检查,作者每走一步都非常谨慎,因之前被我们披露过,作者在此多加了一条毒霸检测,以毒霸安全团队的。同时通过获取云端规避城市列表规避以下城市:

  此模块主要功能就是根据云端配置推广病毒和软件。下载恶意文件到临时目录,通过创建explorer.exe进程传入文件径作为参数执行。本次获取到的配置url有两条,url0为带推广ID的软件EmNotepad,url1为“独狼”和QQ蠕虫母体:

  hbei.exe“独狼”母体与我们之前报道过的过”乱舞”一文中的“cscp.exe”行为和代码基本一致,只是更新了相关云控下载链接,其下载的独狼病毒已经被多家安全厂商披露,且没有太大更新,就不再详细展开分析。hbei.exe执行后,会获取云端版本与本地版本对比是否一致作为云控开关控制病毒,本次获取到版本为9.1.2,通过后会尝试下载3张jpg图片,实际为PE文件,这些链接被硬编码在了程序内部,其中Good.jpg为QQ蠕虫病毒,会盗取用户token发送留言和小广告,better.jpg为“独狼”病毒,best.jpg链接已经失效。通过创建傀儡系统进程iexpress.exe 注入病毒代码执行。其中“独狼”病毒通过RootKit驱动模块内核注入用户浏览器进程实现主页劫持,该驱能完善包含文件系统过滤、注册表过滤、网络过滤、进程镜像过滤等多种技术对抗杀软查杀。注入到浏览器后会解密自身区段配置文件,根据配置文件中的url添加命令行参数进行锁主页。

  经过我们解密后的配置如下图,其中bkcurl的链接无法访问,可能病毒在铺量阶段还没有生效,根据其前几个版本的配置推测,该配置主要内容为带推广ID的软件和DDOS病毒:

  “软件下载器”向来是病毒的温床,例子已经数不胜数,随着“双11”的临近,流量劫持类病毒在利益的下还会迎来一波高峰,毒霸安全团队:

  (2)仔细对比页面展示的文件大小类型和下载的文件大小类型,不一致就要当心了。如果下载下来的文件命名型如: 软件名@数字_数字.exe ,就是下载器了。

  (3) 二次打包被类型,下载下来咋一看图标大小没问题,但是把文件后缀名改成rar或zip,7z等压缩格式即可看出真面目。对于此类软件都可以在官网或毒霸软件管家中下载。


 

Copyright © 2010-2011 广州fun88乐天堂信息科技有限公司 All rights reserved. 冀ICP备15006456号-5 网站地图