國產病毒國外作惡界面LOGO「撞衫」國內上市公司產品

05-02

一、概述

火絨安全團隊發現，近期有國內病毒團伙在國外傳播後門病毒「Bandios」。該病毒侵入用戶電腦後，將實施「挖礦」（生產「門羅幣」）、偷偷劫持用戶流量等行為，同時病毒作者還可隨時通過遠程操控進行其他破壞行為。巧合的是，該病毒安裝界面Logo與國內A股上市公司「崑崙萬維科技股份有限公司」旗下的下載站Brothersoft完全一樣。

後門病毒「Bandios」通過國外某個人博客進行傳播，博主以免費提供下載圖片處理軟體「AQUASOFT SLIDESHOW」為由，吸引用戶點擊帶毒下載鏈接。並且該博主提供了兩個名稱相同的下載地址，用戶點擊第一個下載地址後，病毒將直接被下載到用戶電腦中，執行惡意代碼。

而且該病毒極不易被用戶察覺，侵入用戶電腦後，在被感染電腦上沒有提示，也不會顯示任何圖標。但會在後台偷偷劫持用戶瀏覽器首頁、利用用戶電腦瘋狂「挖礦」（門羅幣），同時病毒作者可以隨時通過遠程操控實施其他破壞行為。

而第二個下載地址則會跳轉到網址為「Brothersoft - Free Sofware Download」的國外網站中，通過分析發現，該網站為國內上市A股公司「崑崙萬維科技股份有限公司」旗下的下載站「Brothersoft」。巧合的是，在後門病毒「Bandios」早期版本的安裝界面中，曾出現過一個Logo，與「Brothersoft」的Logo完全一樣。

目前，「火絨安全軟體」最新版可攔截並查殺後門病毒「Bandios」。對於已經感染該病毒的非火絨用戶，可以下載使用「火絨專殺工具」徹底查殺該病毒。

Tips：

1、點擊下載「火絨專殺工具」http://bbs.huorong.cn/thread-18575-1-1.html；

2、安裝後點擊「開始掃描」。

二、詳細分析

OnlineInstaller.exe

OnlineInstaller.exe運行後，首先會檢測運行參數」-install」，如果不存在該參數則會創建出同名且與當前鏡像相同的「.tmp」文件進行執行並加入「-install」參數，之後會統計當前系統和軟體信息上傳至C&C伺服器hxxp://iostream.system.band/dump/io/time.php。其收集的系統和軟體信息包括：系統版本、MAC地址、用戶所安裝的瀏覽器信息、安全軟體信息。相關代碼如下圖所示：

OnlineInstaller.exe啟動相關代碼

被檢測的瀏覽器，如下圖所示：

被檢測的瀏覽器名稱

通過查詢註冊表方式收集當前環境中的安全軟體名，如下圖所示：

被檢測的安全軟體

如果運行中帶有「-install」參數，則會釋放出多個病毒模塊。通過功能進行分類之後，整體分為兩個部分：流量劫持與挖取門羅幣。相關代碼如下圖所示：

病毒模塊釋放代碼

OnlineInstaller.exe會釋放出多個病毒模塊，每個模塊對應功能如下圖所示：

病毒模塊對應功能

在前文所示函數中，OnlineInstaller.exe會釋放出所有病毒模塊。在資源KPE中存放著所有zlib演算法壓縮的驅動模塊數據，其他病毒模塊則是通過異或加密的方式存放在鏡像數據中。由於除了驅動模塊外，病毒釋放其他病毒模塊的執行流程大致相同，我們僅以釋放spoolsr.exe為例。首先對原有鏡像數據進行解密，之後將隨機生成長度為0x40的隨機數據拼接在原有鏡像數據尾部再釋放文件，然後將拼接隨機數據後的鏡像數據再重新進行異或加密。代碼如下圖所示：

釋放spoolsr.exe

zlib演算法加密的驅動數據文件被存放在鏡像資源中，KPE資源情況，如下圖所示：

KPE資源

最後，OnlineInstaller.exe會對其釋放的文件進行備份，後綴名為「.dat」（如HK.dat為HookKey32.dll的備份），以便將來恢復病毒文件時使用。備份文件對應關係，如下圖所示：

備份文件關係

驅動模塊（iaStorE.sys）

OnlineInstaller.exe使用zlib演算法解壓資源後，會釋放出驅動iaStorE.sys或Dxapi.sys，驅動總共分為x86、x64等5個不同的版本，功能大致相同，我們僅以x86版本的iaStorE.sys為例進行分析。

該驅動首先會將原有的釋放文件刪除，之後使用備份文件進行恢復。相關代碼如下圖所示：

恢復備份文件

在重新恢復原有功能模塊後，驅動會通過註冊服務和註冊AppInit_DLLs（當進程載入user32.dll時，被註冊的動態庫會被進程載入）的方式啟動挖礦和流量劫持模塊。由於Win10系統在沒有安裝安全軟體時會開啟Windows Defender，當病毒檢測到環境為Win10系統後會通過修改組策略註冊表的方式關閉Windows Defender，代碼如下圖所示：

接下來，我們按照功能模塊分類進行分析。

門羅幣礦工

如上文所述，spoolsr.exe會被註冊為系統服務，服務名為「mspoolv」，其主要是用來釋放運行門羅幣礦工程序svchst.exe。在服務啟動後，首先會結束當前環境中正在運行的svchst.exe進程（礦工進程），之後根據當前系統環境（x64或x86）對加密的門羅幣礦工病毒二進位數據進行解密、釋放。代碼如下圖所示：

解密門羅幣礦工程序

釋放礦工病毒後，spoolsr.exe會使用當前用戶許可權對礦工病毒進行啟動。當該病毒檢測到如下進程名後，如果礦工病毒也在運行則會結束礦工病毒進程。相關代碼，如下圖所示：

檢測進程

被檢測的進程名及相關代碼，如下圖所示：

進程檢測代碼

被釋放的svchst.exe是一個被修改後的門羅幣礦工程序，該程序被修改後只會為病毒作者挖取門羅幣，且不用加入啟動參數。原有礦工程序相關信息，如下圖所示：

原有門羅幣礦工程序相關數據

挖礦相關信息，如下圖所示：

礦工信息

流量劫持

流量劫持功能如前文所述，是通過註冊AppInit_DLLs實現的。在iaStorE.sys將usp20.dll註冊為AppInit_DLLs後，當系統user32.dll被載入時載入指定動態庫。usp20.dll的唯一功能就是在被進程載入後載入keyhook32.dll (x86版本)。

keyhook32.dll動態庫在進程中載入後，會通過訪問C&C伺服器地址（hxxp:// ozkngbvcs.bkt.gdipper.com/ping）獲取加密的遠程配置數據。當前配置數據經過解密之後，如下圖所示：

解密後的遠程配置

如上圖所示，當前從C&C伺服器請求到的配置信息中，僅包含由一個驅動模塊的下載地址。動態庫代碼邏輯中還會解析包括流量劫持鏈接、搜索鏈接等配置信息，首頁和搜索鏈接會加密後存放在註冊表HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId11」和「HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId13」鍵值中。配置解析代碼，如下圖所示：

配置解析代碼

通過遠程配置信息中獲取到的劫持相關內容，該動態庫會hook CreateProcessInternalW函數，通過註冊表「HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId11」和「HKEY_LOCAL_MACHINE SYSTEMSetupDigita1ProductId13」中加密的劫持數據對瀏覽器進程附加命令行參數，達到流量劫持目的。劫持代碼如下圖所示：

劫持瀏覽器參數

除了通過修改瀏覽器進程啟動參數進行流量劫持外，該病毒還會通過修改流量器配置的方法對一些常見的第三方瀏覽器進行流量劫持，受影響的瀏覽器包括：Chrome、Edge和Firefox。

三、溯源分析

根據病毒所使用的簽名信息，我們發現該病毒所使用的眾多數字簽名均為被吊銷或者已經過期的國內公司數字簽名。使用的數字簽名不但均為被吊銷的簽名，且都不帶有簽名時間戳。我們以個別樣本為例，如下圖所示：

病毒所用數字簽名

如前文所述，該病毒流量劫持惡意行為所影響到的瀏覽器中，有大部分為國內軟體廠商所開發的瀏覽器，包括：QQ瀏覽器、360瀏覽器、搜狗瀏覽器、UC瀏覽器、獵豹瀏覽器、百度瀏覽器、2345瀏覽器等。而且在OnlineInstaller.exe樣本的資源中，顯示語言為「Simplified，China」（簡體中文）。如下圖所示：

資源信息

通過上述所有信息，我們基本可以斷定該病毒作者為中國人。通過對OnlineInstaller.exe樣本的追根溯源，我們找到了一個存放OnlineInstaller.exe樣本的github鏈接（hxxps://http://github.com/downloadhelp/install），該鏈接很有可能是由病毒作者進行維護的。通過提交記錄我們可以找到多個不同版本的OnlineInstaller.exe樣本，根據github中顯示首次提交時間我們可以推斷出病毒的出現時間為2017年11月28日前後，且至今依然在持續進行更新，最近的一次更新時間為2018年3月26日。首次提交記錄，如下圖所示：