新病毒利用多家知名下載站瘋狂傳播 日感染量最高達十餘萬
一、概述
近日,火絨安全團隊發現,新型病毒"VanFraud"正通過國內多家知名下載站的"高速下載器"大肆傳播,日感染量最高可達10餘萬台。該病毒感染用戶電腦後,會強行添加QQ好友,散播淫穢、賭博、詐騙等違法信息,還有劫持瀏覽器首頁等侵害行為。經技術排查發現,在"2345軟體大全"、"非凡軟體站"等18家下載站內(詳見下圖)均可能被該病毒利用,近期在這些站點下載過軟體的用戶,都有可能被感染,建議大家儘快使用"火絨安全軟體"及專殺工具,對電腦進行掃描查殺。
根據"火絨威脅情報系統"監測顯示,病毒在今年1月16日至1月25日和1月30日至2月2日兩個時間範圍內,通過"高速下載器"進行傳播,並且只感染Win8及以下版本系統用戶。也就是說在該時間段內,Win8及以下版本系統用戶在上述下載站中,通過"高速下載"方式下載任意軟體時,電腦都可能會被感染病毒"VanFraud",其他用戶則不會下載到帶毒高速下載器。但不排除病毒團伙日後會升級攻擊手段,再次作惡。
病毒"VanFraud"感染用戶電腦後,會竊取QQ登錄信息,進而在用戶QQ中強行添加一位"QQ好友",並將"QQ好友"拉入用戶所在的QQ群中,散播賭博、淫穢、詐騙、高利貸等不良信息;同時會將不良信息轉發到用戶QQ空間;此外,還會篡改瀏覽器首頁,跳轉到2345導航頁面。
病毒團伙會讓病毒盡量躲開安全軟體的查殺,當"VanFraud"檢測到用戶電腦中存在安全軟體和安全分析工具時,將不會執行惡意行為。
"火絨安全軟體"最新版即可攔截病毒"VanFraud"。對於已經感染該病毒的非火絨用戶,可以下載使用"火絨安全軟體"及"火絨專殺工具"徹底查殺該病毒(操作流程詳見Tips)。
Tips:
"VanFraud"病毒查殺方式
1、先進入火絨官方論壇(http://bbs.huorong.cn/thread-18575-1-1.html)下載"專殺工具",安裝後,點擊"開始掃描"。
2、之後進入火絨官網下載(https://www.huorong.cn/)下載"火絨安全軟體",在【病毒查殺】功能版塊點擊"快速查殺"。
二、病毒來源
火絨近期發現,數字簽名為"Huaian Qianfeng Network Technology Co., Ltd."的高速下載器攜帶惡意代碼。通常,下載站的高速下載器不論最終安裝何種軟體,下載器程序都是完全相同的(下載器會根據自身文件名中"@"符號後面的軟體編號向伺服器請求下載相應的軟體)。因此,一旦攜帶惡意代碼的高速下載器上線,該下載站所有通過高速下載器安裝的軟體都會受到惡意代碼的影響。通過火絨終端威脅情報系統,我們發現,帶有惡意代碼的下載器曾經在2018年1月16日至1月25日和1月30日至2月2日兩個時間範圍內進行過傳播。經過篩查,我們發現可以下載到帶有該簽名高速下載器的站點眾多,但當前公網可以下載到的該簽名下載器暫不包含惡意代碼。不排除之前兩個時間段的測試是為了進行"試水"的可能性,將來可能會全面放開。可以下載到上述簽名的下載站,如下圖所示:
帶有相同簽名的下載站
經過測試,我們發現下載站伺服器對User-Agent中的當前系統版本進行了限制,只有在Windows 8及以下系統才會下載到帶有上述簽名的高速下載器。在測試過程中我們發現,病毒下載的惡意驅動會造成32位Win7系統藍屏,所以我們推測,只有低版本Windows系統才可以下載該版本下載器的原因,可能是因為病毒代碼對高版本系統支持的不夠好。如下圖所示:
下載站高速下載器
下載器運行界面,如下圖所示:
下載器運行界面
攜帶惡意代碼的高速下載器與其他下載器帶有相同的有效數據簽名。在下載器執行後會創建惡意代碼線程,從遠端C&C伺服器下載病毒程序到本地進行執行。文件信息對比,如下圖所示:
文件信息對比
攜帶惡意代碼的下載器簽名驗證信息,如下圖所示:
數字簽名驗證信息
兩個版本下載器代碼邏輯除惡意代碼部分外,其他邏輯代碼完全相同。如下圖所示:
下載器邏輯對比
通過下圖我們可以看出,兩個版本下載器的下載器部分代碼邏輯相同,且字元串解密部分邏輯與病毒代碼所使用的字元串解密邏輯完全相同。據此我們可以推測,高速下載器中的惡意代碼與該下載器製作廠商存在直接關係。如下圖所示:
代碼邏輯對比
三、詳細分析
惡意代碼執行流程,如下圖所示:
惡意代碼執行流程
1.攜帶惡意代碼的高速下載器
帶有惡意代碼的高速下載器運行後,首先會檢測安全軟體進程和本地時間。病毒檢測的軟體包括殺毒軟體、安全分析工具和虛擬機相關進程,一旦檢測到進程名中包含指定的安全軟體字元串,則會退出惡意代碼邏輯。被檢測的安全軟體,如下圖所示:
被檢測的安全軟體
程序還限制了惡意代碼的運行時間,如果本地時間為2017年9月且日期早於18日,則不會繼續執行惡意代碼。帶有惡意代碼的高速下載器簽名日期為2017年9月13日,上述邏輯用來指定惡意代碼的潛伏期。相關代碼,如下圖所示:
檢測本地時間相關代碼
隨後,該病毒會創建線程向遠端C&C伺服器(hxxp://http://dn.tenqiu.com)發送終端計算機信息,如下圖所示:
發送信息
在講終端信息發送到C&C伺服器前,會將信息用Base64編碼,之後向指定網頁傳遞訪問參數,參數名為"dt",如:hxxp://http://dn.tenqiu.com/mq.php?dt=Base64編碼的終端信息。相關代碼如下圖所示:
請求數據
請求發送後,伺服器會返回一段Base64編碼的json數據,解碼後可以得到如下數據:
解碼後的json數據
在上圖json數據中,屬性"u"中存放的字元串為下載者病毒下載地址,屬性"m"中存放的字元串為下載者病毒文件的MD5值。病毒被下載到本地後,該文件會被存放至temp目錄名為 Net.Framework.d343007000000.exe,文件名後半部分為16進位的系統時間戳。相關代碼如下圖所示:
構造釋放文件名
下載下載者病毒
2.下載者病毒
病毒被下載到本地執行後,首先會通過調用WMI的方法查詢本地MAC地址,之後將MAC地址發送至C&C伺服器(鏈接:hxxp://63.141.244.5/api/fqs.asp?mac=MAC地址&ver=18118)。代碼如下圖所示:
查詢本地MAC地址
上傳數據
之後,該病毒會從指定的三個鏈接中下載三個病毒文件至本地temp目錄進行執行。鏈接及文件名,如下圖所示:
下載鏈接及文件名
下載執行流程大致相同,以svahost為例。代碼如下圖所示:
下載執行svahost
該病毒所下載的三個病毒文件功能各不相同,不同功能的病毒文件名之間會不時進行交替,我們用病毒功能對這三個病毒進行區分並展開詳細分析。
3.QQ好友推廣病毒
該病毒主要用於推廣QQ好友,通常被推廣的QQ號多會涉及賭博、淫穢、詐騙、高利貸等內容,病毒會利用技術手段強行推廣,並藉助下載站的高速下載器迅速擴大病毒影響範圍。由於病毒操作信息較為敏感,報告中已經對相關內容進行了刪減。被強行添加的好友如下圖所示:
病毒運行後,首先會通過類名"5B38xxxx-xxxx-xxxx-xxxx-xxxx8CA3E942"搜索窗體。上述類名窗體是由QQ創建,窗口內容中存放有當前登錄的QQ號。相關代碼如下圖所示:
獲取當前登錄QQ號
在獲取到QQ進程PID後,通過代碼搜索的方式找到QQ與主界面相關的關鍵函數,將函數入口代碼改為return。通過上述操作,屏蔽用戶對QQ主界面的操作,比如打開好友聊天窗口。相關代碼如下圖所示:
搜索QQ界面關鍵函數
屏蔽QQ主界面操作
之後,病毒會從遠程C&C伺服器(hxxp://69.30.244.10/txt/yqh.txt)獲取到進行欲強行推廣的QQ號。如下圖所示:
請求推廣QQ號
使用當前登錄QQ號和遠程獲取到的推廣QQ號構造tencent://鏈接,鏈接被訪問後QQ會彈出添加好友界面,之後通過搜索添加好友窗體模擬用戶點擊的方式強行添加QQ好友。相關代碼如下圖所示:
強行添加QQ好友
利用QQ快速登錄獲取到的當前用戶uin、skey和token,登錄http://qun.qzone.qq.com獲取群數據,向http://qun.qq.com發送添加群成員數據,強行添加群成員。相關代碼如下圖所示:
強行添加群成員
4.QQ空間推廣病毒
與QQ好友推廣類似,病毒首先會在本地獲取到當前登錄QQ的本地登錄信息,之後登錄QQ空間轉發從遠程C&C伺服器獲取到的QQ空間動態。用戶中毒後,QQ空間會強制轉發病毒作者設置空間動態,並會在轉發同時加入評論。以下圖為例,病毒會強制轉發小額貸款內容,轉發評論為"過個好年就靠這個了",以達到其惡意推廣目的。如下圖所示:
被推廣的QQ空間動態
病毒首先會訪問QQ快速登錄網址(https://xui.ptlogin2.qq.com),之後使用JavaScript腳本調用QQ登錄COM介面,獲取當前登錄用戶的QQ號、昵稱和ClientKey(由於代碼涉及敏感操作,此處不對相關代碼進行展示說明)。
利用獲取到的QQ登錄信息登錄QQ空間,根據從遠程C&C伺服器(hxxp://204.12.196.42:81/home/index/number?id=xxx.js,"x"代表任意數字)獲取到的數據轉發空間動態。獲取到的數據,如下圖所示:
遠程獲取到的推廣數據
如上圖數據,數據分為三個部分,分別為QQ空間動態的tid、動態所屬QQ號和轉發時使用的評論。相關代碼如下圖所示:
轉發請求鏈接
5.流量劫持病毒
病毒運行後會釋放出用來進行流量劫持的惡意驅動,被釋放的惡意驅動名為volclr.sys。在火絨虛擬行為沙盒中運行結果如下圖所示:
釋放惡意驅動
惡意驅動載入後,會將瀏覽器首頁劫持為跳轉鏈接(hxxp://www.638739.top、hxxp://http://www.winxitong.cn),最終會跳轉到2345導航頁面(hxxps://http://www.hao774.com/?34067-0351)。如下圖所示:
跳轉頁面
劫持流量
被劫持瀏覽器列表,如下圖所示:
被劫持的瀏覽器
惡意驅動載入後,volclr.sys驅動程序相關惡意行為如下:
1.首先在minifilter過濾驅動中,對安裝軟體安裝包進行放過,保證安全軟體可以正常安裝,提高病毒自身的隱蔽性。如下圖所示:
被放過的進程名
2.通過minifilter過濾,限制explorer及安全軟體(火絨、360、騰訊、金山、百度、瑞星、2345安全衛士)進程無法查看目錄名為drivers下的所有文件及volclr.sys。結合第一點,可以達到既不影響安全軟體安裝又可以與安全軟體進行對抗的目的。相關代碼如下圖所示:
minifilter過濾drivers目錄和volclr.sys
使用explorer瀏覽系統drivers目錄,如下圖所示:
系統drivers目錄
3.限制指定瀏覽器載入安全軟體的瀏覽器保護動態庫,突破安全軟體的瀏覽器保護功能,達到流量劫持目的。受限制的瀏覽器如下圖所示:
受限制的瀏覽器
受限制的動態庫列表,如下圖所示:
受限制的動態庫
受限制動態庫所屬軟體廠商,包括火絨、360、QQ電腦管家、金山等,甚至還包含有一款流氓軟體的動態庫WebSafe.dll。如下圖所示:
受限制動態庫所屬軟體廠商
4.將volclr.sys的文件重定向為ACPI.sys,當打開volclr.sys文件對象時,實際打開的是ACPI.sys。如果此時刪除volclr.sys,會將系統ACPI.sys刪除。代碼如下圖所示:
替換volclr.sys文件對象名
文件屬性,如下圖所示:
volclr.sys文件屬性
惡意驅動原始文件屬性,如下圖所示:
原始文件屬性
惡意驅動原始簽名信息,如下圖所示:
原始簽名信息
四、附錄
文中涉及樣本SHA256:
推薦閱讀: