随性更新 admin@stgod.com
一、 事件起因
随着中国互联网行业的欣欣向荣,软件推广可以带来巨大的利益,使得原本处在“黑产”中的“病毒制造者”纷纷变成软件推广渠道商,利用病毒技术和不法手段在互联网市场中大肆“吸金”。许多知名商业软件(包括某些安全软件)在明明知情的情况下,却利用病毒或黑产组织推广自家产品,并按照推广效果向病毒制造者支付大量费用,这是病毒组织疯狂作恶的最大动力。可以说,是知名软件公司们“喂养”着众多病毒制造者。
火绒安全实验室近期挖掘出一组病毒,长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件(游戏修改器、系统周边工具等)在下载站中进行传播,在用户运行后,该病毒会利用国内某知名互联网公司的软件升级程序下载推广软件,甚至下载病毒驱动进行恶意推广。当用户发现自己可能中毒的时候,计算机中已经装满了各式各样的软件(图1-1)。
图1-1、病毒传播、推广过程示意图
近期收到用户反馈,计算机中会不间断弹出的广告窗口,并且会在每天开机后都会无故被安装很多软件。我们在处理用户现场时采集到了一个可疑驱动程序,原本以为这只是一般的中毒事件,但随后我们发现事情并不简单。
我们通过对用户拦截日志和火绒威胁情报分析系统中的数据分析,以用户视角还原了病毒传播过程,最终推导出这个恶意推广程序传播的源头。
二、 样本分析
在用户现场提取到名为“LvQiu.sys” 可疑驱动程序。经过分析,“LvQiu.sys”加载后会向C:WindowsLakeView目录释放名为“LvQiu.dll”动态库,并且注入到explorer.exe中,在explorer.exe中的“LvQiu.dll”会在内存解密一个新的动态库,该动态库通过explorer.exe连接222.186.3.52服务器的10004端口通信,获取推广软件的下载地址。该IP地址所对应的服务器会校验数据中包含的MAC地址来决定是否下载安装推广软件(图2-1)。
图2-1:被注入后的explorer.exe疯狂下载推广软件
图2-1中我们可以看出,该病毒利用explorer.exe下载大量推广软件,安装到用户计算机获得利益。虽然已经可以检测病毒驱动和动态库文件(检测名称为“TrojanDropper / Toxik.a!sys “和”Trojan/ Toxik.a“),但是病毒的释放者我们还并未找到,没有释放者无法解释病毒如何进入用户计算机的。
三、 还原事件
根据病毒与服务器通信的IP地址222.186.3.52指向hxxp://www.doushivip.com域名的下载链接,在火绒威胁情报分析系统中检索与hxxp://www.doushivip.com相关的病毒样本。
发现文件名为“0601_gszmsp.exe(0602_gszmsp.exe)”的程序会利用金山WPS升级程序下载名为“LV_0601(LV_0602)”的病毒,下载地址指向的就是病毒服务器。利用这个方法下载病毒的样本在火绒之前的报告中曾经出现过(hxxp://huorong.cn/info/146173859916.html)。为了查清病毒传播渠道,根据火绒行为沙箱的日志,我们在火绒威胁情报分析系统中列出近期利用WPS升级程序下载病毒的日志,通过安装推广软件的时间线,寻找病毒源头,发现病毒程序和以下软件有关系(图3-1)。
图3-1:和病毒相关的软件
我们模拟一般用户,通过百度搜索这些软件名称,发现在搜索结果中排名第一位的链接大都来自同一下载站(表3-1):
|
电脑系统时间自动校对器
|
hxxp://www.crsky.com/soft/16618.html
|
|
电脑校时器
|
hxxp://www.crsky.com/soft/16975.html
|
|
无法定位程序输入点修复工具
|
hxxp://www.crsky.com/soft/45479.html
|
|
GTA5修改器
|
hxxp://www.crsky.com/soft/94068.html
hxxp://www.crsky.com/soft/100055.html
hxxp://www.crsky.com/soft/82515.html
|
|
侠盗飞车罪恶都市超级作弊器
|
hxxp://www.crsky.com/soft/35019.html
|
|
使命召唤9修改器
|
hxxp://www.crsky.com/soft/37905.html
|
|
越狱搜索
|
hxxp://www.crsky.com/soft/28959.html
|
|
QQ号码申请器
|
hxxp://www.crsky.com/soft/84274.html
hxxp://www.crsky.com/soft/84039.html
|
|
心心qq名片刷赞工具
|
hxxp://www.crsky.com/soft/43046.html
|
|
Word-Excel密码破解器
|
hxxp://www.crsky.com/soft/40259.html
|
|
手机号码定位软件
|
hxxp://www.crsky.com/soft/26487.html
|
|
CDR缩略图补丁
|
hxxp://www.crsky.com/soft/64171.html
|
表3-1:和病毒相关软件下载链接
我们将表3-1中的软件下载到本地,运行后发现安装程序的界面非常相似,应该是同一个团队或同一个作者制作,并且安装程序的最后一个页面满屏都是推广软件(图3-2),经过测试发现即使没有任何勾选,也一样会下载安装推广软件和病毒程序(图3-3)。
图3-2:相似的软件安装界面
图3-3:下载“软件”运行后的行为
根据以上信息我们可以推断病毒的传播方式和流程如下(图3-4):
1. 投毒下载站,伪装常用软件。
2. 在推广软件列表中混入病毒下载器,图中为“随身音吧”。病毒下载器会利用WPS的升级程序,下载更多病毒。在我们捕获的样本库中,除了还有“随身音吧”还有伪装成“万年历”、“随身智屏”、“V购助手”等名称的病毒样本(图3-5)。
3. “随身音吧”会下载名称为“LV_0601.exe”(病毒名:“HVM:VirTool/Obfuscator.gen!A”)和“s0601.exe”(病毒名:“TrojanDownloader/ Toxik.b”)这两个病毒。
4. “LV_0601.exe”运行后释放并加载“LvQiu.sys”驱动文件 (病毒名: “TrojanDropper/ Toxik.a!sys”),发送数据到222.186.3.52服务器(图3-6),数据中包含了本机IP、网络运营商、安装的安全软件、系统版本、程序名称和父进程名称,然后下载推广软件(图3-7)。发送信息可以帮助病毒作者统计出病毒传播渠道和范围。
5. “s0601.exe”还是利用WPS升级程序的推广软件下载器(图3-8)。
6. 被LvQiu.dll注入的explorer.exe会疯狂开始下载推广软件(图2-1)。
7. 疯狂的下载还远没有结束,直接被推广下来的软件还会继续安装更多的推广软件。
图3-4:病毒入侵并进行恶意推广
