"食鼠貓"是個什麼樣的病毒？電腦上現在還有病毒嗎？

這幾天看到不少食鼠貓病毒的新聞炒作，現在PC病毒還這麼猖獗嗎？是不是殺毒廠商又在搞恐嚇營銷。

---

不知這個食鼠貓的名字是怎麼個來歷，這個病毒應該說挺有意思，作者很費心思做了個流氓推廣的軟體。

毒霸安全中心的分析師給了一個超詳細的分析報告，可以說，這個病毒的分析揭示了中國大陸畸形的互聯網產業。這個病毒只是做流氓推廣的一種，通過這個病毒樣本的分析，能幫助理解，為什麼中國網民備受流氓軟體欺凌。

報告全文刪減部分細節之後內容如下：

「食鼠貓」病毒分析及背後的流氓推廣灰色產業鏈

「食鼠貓」病毒主要通過虛假色情播放器等流氓軟體的捆綁安裝進行傳播，病毒行為包括：

1. 被強制安裝多款推廣軟體；

2. 篡改瀏覽器快捷方式、Hosts文件等方式劫持導航網站流量；

3. 導入根證書偽造數字簽名逃避殺毒軟體查殺與防禦；

4. 嘗試使用網路過濾驅動屏蔽殺毒軟體的升級與雲查殺。

[一]：病毒樣本行為分析

圖1「食鼠貓」病毒運行流程簡圖

「食鼠貓」病毒捆綁在一款名為「好愛FM收音機」的流氓軟體中，主要通過一些色情站點和下載站點的誘導虛假下載鏈接進行傳播。樣本使用delphi語言編寫，作者還是個delphi新手（下文會描述）。新手歸新手，這個病毒的功能設計，仍然相當複雜。病毒經過多達十來個模塊分別下載、協同完成流氓推廣任務。

通過多層Loader模塊的解密與內存載入執行，下載運行最終功能模塊，樣本分析同樣按Loader層和功能模塊層分為兩大部分。

一、Loader層分析

1.靜默安裝「愛好FM收音機」流氓軟體，然後解密病毒模塊A，直接在內存中載入運行。

2.模塊A訪問http://jsion.sin-o.com/favicon.ico，讀取解析其中隱藏的下載鏈接並解密，然後訪問此鏈接下載模塊B，解密後再次內存裝載運行。

3.模塊B的主要功能包括病毒運行環境檢測、流量渠道標記保存、後續惡意模塊釋放以及安裝統計數據發送等：

• 病毒運行環境檢測：主要是為了對抗病毒分析檢測。使用的手法也比較常規，包括簡單的反調試、特權指令反虛擬機、遍歷檢測系統窗口是否存在安全工具以及是否存在網吧管理程序進程等。檢測到這些環境，病毒就不運行。

• 保存推廣渠道流量標記信息到註冊表，方便後續模塊根據流量ID讀取對應的配置信息。

• 釋放資源中包含的MSI程序包(模塊C)到臨時目錄(~DFAN9FP.tmp)，調用msiexec.exe以靜默參數解析安裝。

• 獲取主機的MAC地址、系統版本以及安裝包路徑，加密後發送到遠程伺服器。

4.模塊C實際為msi格式的安裝包程序，使用rootsupd.exe工具導入根證書，為加入惡意代碼的IDriverT.exe偽造數字簽名，企圖逃避安全軟體的查殺與防禦。

圖2 病毒偽造數字簽名進行欺騙MSI包文件列表：

• IDriverT.exe：作者修改某款delphi程序源碼(個人電腦助手v1.3)，在其中添加了惡意代碼後重新編譯。

• RCImage.skn：IDriverT.exe的依賴模塊，實際為VMProtect的SDK動態庫文件。

• ~DFDE9FD.tmp：實際為rootsupd.exe，用於更新系統根證書列表的命令行工具。

• ~DFCCBFE.tmp：根證書文件，偽造Symantec Corporation簽名。

5.IDriverT.exe在正常程序的基礎上添加惡意代碼後重新編譯，運行以後解密模塊D，繼續內存載入運行。

6.模塊D訪問遠程伺服器下載http://dl.zzxssm.com/data/_Config.dat（模塊E），解密後繼續在內存中直接載入運行。

7.模塊E同樣將如下格式信息加密後發送到另一安裝統計後台伺服器，可以看到此次的病毒變種版本為v1.6.1；然後與模塊B一樣再次對病毒運行環境進行檢測；最後檢測"_lost_downfile_mod_"互斥事件是否存在，如果存在則發送另外一條安裝統計信息後退出，不存在則進入後續模塊下載的邏輯分支。

8.模塊E後續下載邏輯分支：發送安裝統計數據包，返回數據為渠道的安裝位置量，如果小於100則十分鐘後退出進程，否則開始下載白文件DumpUper.exe和惡意模塊F到臨時目錄，讀取惡意模塊F解密後注入到白文件進程中運行。

9.模塊F首先檢查「_Lost_Jump_Mod_1」互斥事件是否只存在，存在則退出進程；如果進程參數為」0」或「1」則將模塊F重新注入自身白進程，命令參數為」2」;如進程參數為「2」則刪除模塊F文件，下載模塊G注入自身進程繼續運行，啟動參數為渠道標識信息。

10.模塊G讀取伺服器配置信息，開始下載真正的工作模塊。模塊G取命令行參數解密獲得渠道標記，開啟定時器訪問http://i1.d8ht.com:8080/GetLog.html獲取配置信息，根據自身渠道標記去讀取對應的配置信息，二次解密後再進行格式化解析，下載鏈接信息，開啟線程下載執行各模塊。

• 訪問http://i1.d8ht.com:8080/GetLog.html獲取配置信息，共26條有效數據，可以推測出此變種目前最少有26個流量渠道進行推廣：

• 獲取上面的配置信息後，模塊G根據自身的渠道ID讀取對應的條目，進行兩層解密，然後進行格式化解析。

• 模塊G接著開啟線程按照格式化後的數據進行下載安裝，本例中推廣軟體安裝包為百度殺毒、百度衛士以及UC瀏覽器，下載安裝包到配置信息中的指定目錄；以及自身工作模塊，其中12.jpg為推廣包安裝模塊，4.jpg為瀏覽器快捷方式篡改模塊，8.jpg為hosts文件劫持模塊，test.exe為網路驅動對抗模塊，以上[self]類工作模塊下載完成後通過白文件DumpUper.exe進程注入啟動。

主要工作模塊功能列表：

http://dl.zzxssm.com/data/test.exe [網路驅動對抗模塊]

http://dl.zzxssm.com/data/3.gif [鏈接失效]

http://dl.zzxssm.com/data/12.jpg [推廣包安裝模塊]

http://dl.zzxssm.com/data/4.jpg [瀏覽器快捷方式篡改模塊]

http://dl.zzxssm.com/data/8.jpg [hosts文件劫持導航模塊]

二、功能模塊層分析

1、網路驅動對抗模塊

圖3 網路過濾驅動對抗模塊流程簡圖

本模塊主要嘗試載入驅動來屏蔽主流殺毒軟體進程訪問網路，屏蔽殺毒軟體升級逃避雲查殺。

2、推廣包安裝模塊

本模塊主要負責前面下載的推廣軟體包的安裝，根據下載模塊傳遞的命令行參數進行安裝，參數分別為安裝目錄環境變數、推廣包名、安裝後進程名稱。

1）首先檢測是否存在常見的網吧管理程序進程，存在則不進行安裝。

2）檢查指定目錄下的推廣包是否存在，如果存在判斷相應進程名是否存在，防止重複安裝。

3）解密DmpUper.exe(360殺毒白文件)作為宿主傀儡進程，將安裝包程序注入其中運行，循環繼續下一個安裝包的安裝。

4）統計安裝成功結果數量，如果安裝失敗，就獲取當前系統環境信息上傳到遠程FTP伺服器，信息內容主要包括系統信息、活動窗口程序、系統進程列表以及桌面截圖等。

5）發送安裝統計信息到遠程伺服器。（安裝量計數，找發行商對帳分錢用。）

3、瀏覽器快捷方式篡改模塊

本模塊主要通過修改瀏覽器快捷方式的屬性實現篡改主頁功能。

4、hosts文件劫持導航模塊

本模塊主要通過修改hosts文件劫持域名解析，將hao123等常見導航網站引導到自己的伺服器上，通過自己導航站點的廣告推廣賺取利潤。

導航網站劫持列表：

http://www.hao123.com/ / hao.360.cn / http://www.3600.com/

http://hao.qq.com / http://123.duba.net / http://www.duba.com/

http://123.sogou.com / http://www.114la.com/ / http://www.256.cc/ / http://www.uc123.com/

通過上述的分析可以看出，「食鼠貓」病毒所使用的對抗技術手段並不是特別高深，但是另一方面又具有一定的代表性，體現在以下幾個部分：

1. 樣本loader部分使用多層的模塊內存載入。loader進行解密再內存載入配合「白加黑」技術，已經成為對抗殺毒查殺的常見手法，部分情況下可以繞過殺毒查殺攔截。

2. 修改正常軟體源碼添加惡意代碼後重新編譯。在大量的正常代碼中混合一小段的loader代碼，對殺毒引擎的鑒別能力和人工病毒分析都提出了更高的要求。

3. 在系統中導入根證書偽造正常簽名。可以繞過部分對文件數字簽名驗證邏輯不夠嚴謹的安全軟體。

[二]：樣本追蹤溯源

圖4 「食鼠貓」樣本溯源簡圖

每一個熱點病毒的傳播過程都並非孤立事件，從樣本編寫、傳播渠道、牟利方式以及到最終的受害用戶，各個環節往往都是緊密關聯的，「食鼠貓」病毒同樣如此，通過對樣本暴漏的信息以及安全統計數據的分析，嘗試對「食鼠貓」病毒進行樣本溯源，追蹤病毒傳播鏈條的幕後黑手。

1）、通過對病毒關聯域名的歷史解析數據分析，可以此流氓軟體的推廣從2014年初開始，變種文件最少在30個以上。

本次新變種從2014年8月份左右開始傳播，大多通過誘導站點的流氓軟體捆綁傳播，涉及到的推廣渠道多達數十個。本次變種使用的推廣域名與伺服器在編寫分析報告時已經關閉，病毒作者可能更換了新的下載域名和渠道，後續傳播情況有待進一步的監控。

圖5 傳播渠道域名關係簡圖(部分數據)

2）部分病毒作者經常使用郵箱、FTP伺服器等方式上傳信息，導致帳號密碼信息泄漏。「食鼠貓」樣本嘗試上傳到FTP伺服器上的信息主要包括兩類：安裝失敗和對抗監控，主要內容為系統環境信息和桌面截圖，上傳帳號密碼、伺服器IP等信息，暴露在病毒代碼中。

(1)、信息上傳按日期創建目錄，從8月11日到8月23日，這也說明本次新變種從近期開始傳播；上傳信息主要為系統環境和桌面截圖，從部分感染用戶當時的系統環境分析看，主要是被誘導安裝了一些虛假色情播放器（例如優播視頻等流氓軟體），這些軟體往往也捆綁安裝了其他的的流氓病毒，在「剛需」的作用下不少用戶面對殺毒攔截選擇了放行。

(2)、用戶在訪問一些安全軟體論壇時也會觸發上傳策略，其中大多為用戶中招以後無法升級殺毒軟體，訪問論壇進行求助。

(3)、病毒作者在測試樣本的時候也上傳了一些調試信息，包括系統信息、代碼截圖等。可以發現一個有趣的細節，作者當時正在瀏覽一篇網頁「DELPHI中MessageBox的用法」,從這個細節中我們可以看出作者可能是個delphi編程的初學者。

圖6 病毒作者電腦進程中發現作者正在閱讀Delfhi開發方面的參考資料

3）、同樣在對病毒使用的某統計後台進行檢測時，發現統計程序和伺服器配置存在安全漏洞，導致統計後台程序的源碼泄漏，進而獲取到相應資料庫的帳號密碼信息，後續滲透拿到了部分病毒伺服器的管理許可權。通過對病毒伺服器文件的進一步分析，獲取到「食鼠貓」病毒的傳播統計數據和病毒作者的其他信息。

(1)、病毒統計後台程序存在安全漏洞，資料庫操作語句也未進行安全過濾操作，還可以看到作者針對不同推廣渠道進行扣量的設置。

(2)、後續滲透得到部分病毒後台伺服器的管理許可權，通過進一步分析，掌握了「食鼠貓」病毒樣本傳播的歷史統計數據以及病毒作者的其他信息。從「食鼠貓」病毒的後台安裝統計數據中可以看出，本次新變種的傳播感染量較高，在8月8日前後達到日感染量近9萬最高峰，在總共一個半月的時間裡，累計感染量達到95萬。

圖7 食鼠貓病毒的感染數據

[三]：互聯網灰色產業鏈的一角

圖8 互聯網流量推廣鏈條

國內互聯網的推廣行為一直以來缺乏嚴格的規範和監管，在利益的熏陶下衍生了非常多的灰色地帶。被利益糾結在一起的流量圈內角色關係複雜，有時其中一環就覆蓋了鏈條上的多個角色。龐大的國內互聯網市場作為一塊蛋糕，有人通過出色的產品贏得用戶，有人則伸出黑手在背後暗暗蠶食。

「食鼠貓」樣本作為一例典型的流氓推廣類木馬，一個多月的傳播感染量就多達近百萬，其本身載體就是一款流氓軟體，而推廣渠道也大多是通過其他流氓軟體進行捆綁安裝。一方面通過推廣某軟體賺取推廣費用，另一方面通過劫持導航網站賺取廣告費用。

---

這種食貓鼠病毒主要是通過群共享和一些網站進行傳播下載一個網路電台軟體FIFM安裝包，當大家打開這個安裝包後，木馬就會悄悄的釋放出來，利用安全軟體漏洞，繞過電腦殺毒軟體潛伏在電腦中了。但是也不必擔心， 只要防護這個木馬在電腦上安裝一個靠譜的殺毒軟體就可以了！


---

推薦閱讀：