知名商业软件“喂养”病毒产业链“Toxik”病毒追踪

由于工作较忙,随性更新。admin@stgod.com

一、        事件起因

随着中国互联网行业的欣欣向荣,软件推广可以带来巨大的利益,使得原本处在“黑产”中的“病毒制造者”纷纷变成软件推广渠道商,利用病毒技术和不法手段在互联网市场中大肆“吸金”。许多知名商业软件(包括某些安全软件)在明明知情的情况下,却利用病毒或黑产组织推广自家产品,并按照推广效果向病毒制造者支付大量费用,这是病毒组织疯狂作恶的最大动力。可以说,是知名软件公司们“喂养”着众多病毒制造者。
 
火绒安全实验室近期挖掘出一组病毒,长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件(游戏修改器、系统周边工具等)在下载站中进行传播,在用户运行后,该病毒会利用国内某知名互联网公司的软件升级程序下载推广软件,甚至下载病毒驱动进行恶意推广。当用户发现自己可能中毒的时候,计算机中已经装满了各式各样的软件(图1-1)。
知名商业软件“喂养”病毒产业链“Toxik”病毒追踪
   图1-1、病毒传播、推广过程示意图
 
近期收到用户反馈,计算机中会不间断弹出的广告窗口,并且会在每天开机后都会无故被安装很多软件。我们在处理用户现场时采集到了一个可疑驱动程序,原本以为这只是一般的中毒事件,但随后我们发现事情并不简单。
 
我们通过对用户拦截日志和火绒威胁情报分析系统中的数据分析,以用户视角还原了病毒传播过程,最终推导出这个恶意推广程序传播的源头。
 

二、        样本分析

在用户现场提取到名为“LvQiu.sys” 可疑驱动程序。经过分析,“LvQiu.sys”加载后会向C:WindowsLakeView目录释放名为“LvQiu.dll”动态库,并且注入到explorer.exe中,在explorer.exe中的“LvQiu.dll”会在内存解密一个新的动态库,该动态库通过explorer.exe连接222.186.3.52服务器的10004端口通信,获取推广软件的下载地址。该IP地址所对应的服务器会校验数据中包含的MAC地址来决定是否下载安装推广软件(图2-1)。
 
知名商业软件“喂养”病毒产业链“Toxik”病毒追踪
  图2-1:被注入后的explorer.exe疯狂下载推广软件
 
图2-1中我们可以看出,该病毒利用explorer.exe下载大量推广软件,安装到用户计算机获得利益。虽然已经可以检测病毒驱动和动态库文件(检测名称为“TrojanDropper / Toxik.a!sys “和”Trojan/ Toxik.a“),但是病毒的释放者我们还并未找到,没有释放者无法解释病毒如何进入用户计算机的。
 

三、        还原事件

根据病毒与服务器通信的IP地址222.186.3.52指向hxxp://www.doushivip.com域名的下载链接,在火绒威胁情报分析系统中检索与hxxp://www.doushivip.com相关的病毒样本。
 
发现文件名为“0601_gszmsp.exe(0602_gszmsp.exe)”的程序会利用金山WPS升级程序下载名为“LV_0601(LV_0602)”的病毒,下载地址指向的就是病毒服务器。利用这个方法下载病毒的样本在火绒之前的报告中曾经出现过(hxxp://huorong.cn/info/146173859916.html)。为了查清病毒传播渠道,根据火绒行为沙箱的日志,我们在火绒威胁情报分析系统中列出近期利用WPS升级程序下载病毒的日志,通过安装推广软件的时间线,寻找病毒源头,发现病毒程序和以下软件有关系(图3-1)。
 
知名商业软件“喂养”病毒产业链“Toxik”病毒追踪