快捷搜索:  网络  后门  CVE  渗透  扫描  木马  黑客  as

激活工具带毒感染量近60万,刻意避开北京等四城用户

Justler500x900.png

1、 概述

近日,火绒安全团队发现,用户在知名下载站”体系之家”下载装置”小马激活”及”OFFICE2016″两款激活工具时,会被植入病毒”Justler”,该病毒会挟制用户阅读器首页。病毒”Justler”作者极为谨慎,会刻意避开北京、厦门、深圳、泉州四个收集安全监察严格的区域的IP。除这几个区域以外的用户,下载到的软件均可能带毒。据”火绒威胁情报体系”监测以及评估,截至目前,该病毒感染量已近60万。

 image003.png

病毒”Justler”通过知名下载站”体系之家”(xitongzhijia.net)传播。当用户试图下载”小马激活”及”OFFICE2016″两款激活工具时,”体系之家”会识别走访IP,当用户IP地址不属于北京、厦门、深圳、泉州四个区域时,则会跳转到被植入病毒代码的软件下载链接。

另外根据跳转链接域名,我们进一步发现了一个站点名同为”体系之家”(win.100ea.com)的网站。而该网站中提供的体系盘也一样携带病毒”Justler”。

一旦运行”小马激活工具”、”OFFICE 2016激活工具”装置包,病毒”Justler”也随之被激活。以后,该病毒将篡改被感染电脑的阅读器首页,挟制流量。

火绒安全团队发现,行使激活工具以及体系盘进行传播病毒以及流氓软件的征象有逐渐增多趋向。由于激活工具一般为装机后起首装置的软件,因此此类病毒以及流氓软件行使介入时机更早的优势与安全软件进行匹敌。

“火绒安全软件”最新版可拦截并查杀病毒”Justler”。对于已经感染该病毒的非火绒用户,可下列载使用”火绒专杀工具”彻底查杀该病毒。

二、 样本阐发

本次火绒所截获的病毒样本将本人伪装成了小马激活工具,在运行原版小马激活工具的同时,还会开释加载恶意驱动进行流量挟制。样原先源为名鸣 “体系之家”的软件站(www.xitongzhijia.net),该站点在百度搜索”体系之家”后的搜索效果排名中居于首位,且被标注有”官网”标志。百度搜索”体系之家”后的搜索效果,以下图所示:

 image005.png

百度搜索效果

该站点主页页面,以下图所示:

 image006.png

站点页面

病毒将本人伪装成小马激活工具,病毒在运行起首会开释运行原始的小马激活工具,以后会开释加载病毒驱动进行流量挟制。病毒的下载页面(hxxp://www.xitongzhijia.net/soft/28841.html)会根据走访者IP的不同而变迁,例如当走访用户的IP对应地区为北京时,下载地址链接,以下图红框所示:

 image007.png

病毒下载页面(北京IP走访)

但在我们使用HTTP代办署理走访后,下载地址链接出现了变迁,变为了百度云盘下载。通过一段时间的测试我们发现,在使用HTTP代办署理的情形下,下载页面并不是每一次都会显示百度云盘下载链接,病毒作者可能行使这类方式匹敌安全厂商的样本网络。下载页面,以下图所示:

 image008.png

病毒下载页面(HTTP代办署理走访)

点击上图中的”百度云盘下载”链接后,网络黑客,页面会跳转至hxxp://go.100ea.com/oem9/down.html。该页面中包含的JavaScrIPt脚本可以根据用户的当前IP地址所属地域,跳转至不同的百度云盘地址。要是通过IP地域查询,获取到当前所属城市为北京、厦门、深圳或泉州,则会跳转到无毒版本小马激活工具的百度云盘下载页面;要是当前所属地为其他城市,则会跳转到带毒小马激活工具的下载地址。脚本内容,以下图所示:

 image009.png

跳转脚本内容

带毒小马激活样本由三层开释器构成,病毒总体结构以下图所示:

 image010.png

病毒总体结构

三层开释器中都带有检测安全软件的代码逻辑,要是检测到安全软件则会弹出提示”为了顺利激活体系,请先退出杀毒软件”,最撤退退却出执行。提示弹窗,以下图所示:

 image011.png

提示弹窗

相干代码,以下图所示:

 image012.png

相干代码

oem9.exe以及uuu.exe代码逻辑大致相同,均是对原始PE映像解密落后行开释。以oem9.exe为例相干代码,以下图所示:

 image013.png

开释器代码逻辑

前两层开释器开释结束后会开释执行xxx.exe,xxx.exe资源”RES”中包含被加密的压缩数据,该资源肇始处可以看到RAR标记,然则实在肇始地位数据是用来迷惑阐发人员的。相干资源数据,以下图所示:

 image014.png

RES资源实在地位内容

真实的压缩数据肇始地位为该资源偏移为0x41BB0B(0x41BB0B = 0x41BF0B(传入参数) – 0×400)的地位,压缩数据被逐字节加0×62加密过,解密后可以得到原始7z压缩数据。相干代码,以下图所示:

 image015.png

压缩数据解密代码

将数据解压后我们得到了恶意驱动压缩包(解压后驱动名为jus3310s.sys)以及原始的小马激活工具(ActE.exe),以下图所示:

 image016.png

解压后文件

在火绒捏造举动沙盒中的运行情形,以下图所示:

 image017.png

捏造举动沙盒运行情形

恶意驱动jus3310s.sys加载后,会注册映像加载归调挟制阅读器启动参数。当映像文件名为阅读器文件名时,恶意驱动会将阅读器启动参数挟制为以下网址。挟制所使用的网址,以下图所示:

 image018.png

挟制网址列表

受影响阅读器列表,以下图所示:

 image019.png

受影响的阅读器列表

恶意驱动起首会对加载映像的文件名进行检测,检查是否为阅读器文件名,以后对其父进程进行检测查看父进程是否为桌面进程(包括体系explorer、360桌面助手以及360安全桌面),要是父进程是桌面进程则会对启动参数进行挟制。过滤阅读器进程相干代码,以下图所示:

 image020.png

过滤阅读器进程代码

检测父进程是否为桌面进程相干代码,以下图所示:

image021.png 

进程父进程代码

3、 溯源阐发

通过我们对下载到病毒的体系之家网站内容进行排查,我们发现类似的带毒激活工具并不只有一个。在该网站的软件总排行列表中,我们暂时发现带毒的激活工具共有两个,且通过百度云盘链接终极下载到的病毒程序也在不断更新,病毒举动也可能不断进行变迁。网站软件总排行列表,以下图所示:

 image022.png

软件总排行列表

如上图,红框所示即为带毒的激活工具,两款激活工具排名无比靠前,排名分别在第五位以及第六位,以此来诱骗用户进行下载执行。另一款带毒的激活工具终极所开释的恶意驱动(bus3310s.sys)与前文中所述恶意驱动(jus3310s.sys)具有很高的相似性,显著两个病毒样本出自同一病毒作者之手。同源代码,以下图所示:

 image023.png

同源代码

除此之外,通过搜索前文中提到包含跳转脚本的网址域名(hxxp://100ea.com),我们发现该域名还存在一个名为hxxp://win.100ea.com的子域名,该站点名同为”体系之家”。我们在该网站中下载的(hxxp://win.100ea.com/dngs64win10.html)体系盘镜像中也一样发现了一样的病毒样本,而且体系盘中的恶意驱动(yhxmabc.sys)样本哈希与前文中所述样本jus3310s.sys(x64)哈希相同,即该站点中的体系盘也一样包含有相同病毒。该网址页面,以下图所示:

 image024.png

win.100ea.com网站页面

带毒的体系盘下载页面,以下图所示:

 image025.png

带毒体系盘下载页面

样本哈希对比,以下图所示:

 image026.png

样本哈希对比

4、 延伸样本阐发

火绒近期发现,行使激活工具以及体系盘进行传播的病毒以及流氓软件有逐渐增多趋向,此类病毒以及流氓软件行使介入时机更早的优势与安全软件进行匹敌。此前在火绒发布的讲演《”小马激活”病毒新变种阐发讲演》以及《盗版用户面临的”APT攻击”危害》中,也对行使这两种方式进行传播的病毒样本进行过具体阐发。除了上述样本外,火绒近期还截获了另一款行使体系盘路子进行传播流氓软件,该流氓软件会行使一键装机工具下载带有流氓软件体系镜像的方式进行传播。

征象

本次火绒截获到的流氓软件名为”主页守护神”,会通过一款名为”云骑士装机大师”的一键装机工具下载带有流氓软件体系镜像,以后在内陆对体系镜像进行装置从而达到传播目的。流氓软件运行后,除了首页锁定功能外还具有软件推送的功能,将来可能用于进行软件推行或者广告程序推行。经过火绒对”云骑士装机大师”软件的溯源阐发,我们发现传播该流氓软件的一键装机工具数量众多。以下图所示:

 image027.png

传播该流氓软件的装机工具及官网网址

上述一键装机工具官网页面,以下图所示:

 image028.png

云骑士装机大师官网

上述装机工具鄙人载体系镜像时,会在同一服务器地址(hxxp://hsds.ruanjiandown.com)下载相同的gho文件至内陆进行装置。在该体系镜像中,除了会预装流氓软件外,还会预装安全软件(360安全套装以及QQ管家安全套装),由于这两款安全软件并不会检测该流氓软件,所以通过该装机工具装置体系的用户通常并不会知道体系已经被植入了流氓软件。”安全套装”选择窗口,以下图所示:

 image029.png

“安全套装”选择窗口

体系装置实现后,”主页守护神”会被装置到体系中的Program Files\PageGuard目录下。该流氓软件外观上的软件功能为主页维护,但在其软件代码中还包含有软件推送的相干代码逻辑。但截至到讲演发布前,软件推送的相干设置暂时还没有配置软件推送数据,但不排除该流氓软件将来借助软件推送功能进行软件静默推行或广告程序推送的可能性。在双击运行该软件的主程序时,会弹出首页及默认阅读器的配置界面,然则该软件的自启动项中被配置了隐躲执行参数,自启运行时不会显示软件界面。软件界面,以下图所示:

 image030.png

“主页守护神”软件界面

该软件的启动项注册表,以下图所示:

 image031.png

启动项

该软件被装置后不会创建桌面快捷方式,在体系控制面板中也没法找到该软件的卸载项。该软件以隐躲方式启动后,要是运行软件推送逻辑,用户将很难对其软件推送举动有所察觉。

具体阐发

在该软件装置目录中,存放有首页锁定功能的相干设置。设置信息,以下图所示:

image032.png 

挟制设置

首页锁定功能是通过PGFltMgr.sys(包含挟制与自保功能)以及PGFltMgrLib.dll(与驱动进行通信)来完成的,PGFltMgrLib.dll为ring3层调用PGFltMgr.sys驱动的唯一接口。在调用PGFltMgrLib.dll导出函数SetHomePageLockerW后,PGFltMgr.sys驱动的会在映像加载时,将BrowserInjectDll.dll注入到指定进程中。BrowserInjectDll.dll镜像内容可以通过遥程服务器进行下载,现阶段其中代码会Hook GetCo妹妹andLineA以及GetCo妹妹andLineW,最后通过篡改命令行参数达到首页锁定目的。PageGuard.exe中的首页锁定功能相干代码,以下图所示:

 image033.png

挟制功能相干代码

BrowserInjectDll.dll中的Hook代码,以下图所示:

 image034.png

Hook代码

除了首页锁定功能外,还会根据设置调用Downloader.exe行使迅雷的下载组件下载推送其他程序,然则相干功能设置暂时为空,暂时不会进行软件推送。软件推送设置文件内容,以下图所示:

 image035.png

软件推行设置信息

软件推送相干代码逻辑,以下图所示:

 image036.png

执行推送程序代码

 image037.png

软件推送下载代码

该流氓软件除了上述功能外,还有具有一定的自保能力,可以对与自身软件相干的启动项进行维护。被维护的键值包括:PageGuard主程序启动项、PageGuard服务启动项以及IE首页项。相干代码,以下图所示:

image038.png 

注册表维护代码逻辑

5、 附录

文中触及样本SHA256:

image039.png

*

您可能还会对下面的文章感兴趣: