病毒偽裝成激活工具  強制安裝360、2345瀏覽器

來自專欄火絨安全實驗室97 人贊了文章

一、概述

8月30日，火絨安全團隊截獲病毒"FakeKMS"。該病毒偽裝成"小馬激活"、"KMS"等知名激活工具，通過激活工具下載站點（http://rjdq.zzymsmc.cn/jihuo/ty/jh2/）進行傳播。該病毒不具備任何激活功能，一旦病毒入侵用戶電腦，會立即劫持瀏覽器首頁，同時還會靜默安裝360安全瀏覽器和2345瀏覽器，進而牟利。另外，該病毒還會通過內核級對抗手段躲避安全軟體查殺。

"火絨產品（個人版、企業版）"最新版即可查殺該病毒，建議近期訪問過該網站下載軟體的用戶，儘快使用"火絨產品"對電腦進行掃描查殺。

二、樣本分析

該病毒會將自身偽裝成系統激活工具，並通過自己搭建的激活工具下載站點進行傳播。與以往的所見到的同類樣本不同，該病毒除了會執行病毒行為外，不具有任何激活功能。病毒下載站點，如下圖所示：

病毒下載站點

如上圖所示，該頁面中的激活工具下載鏈接眾多。但是通過測試，我們發現在用戶點擊下載後最終跳轉到的下載地址均為hxxp://http://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe，即用戶通過任一下載鏈接下載到的均為同一病毒樣本。該病毒樣本為AutoIt安裝包，通過病毒腳本邏輯運行病毒文件及靜默軟體安裝包。病毒腳本，如下圖所示：

病毒AutoIt腳本

被該病毒推廣的軟體包括：360安全瀏覽器和2345瀏覽器。被推廣的軟體安裝包文件信息，如下圖所示：

360瀏覽器安裝包文件信息

2345瀏覽器安裝包

病毒在推廣軟體的同時還會釋放Rootkit病毒劫持瀏覽器首頁，驅動文件名為隨機名且沒有擴展名，驅動文件還會通過內核級對抗手段躲避安全軟體查殺。Rootkit病毒文件，如下圖所示：

病毒文件

該病毒被載入後會強行劫持用戶首頁為2345網址導航（hxxp://http://www.iw121.com）,被劫持後的首頁情況，如下圖所示：

被劫持後的瀏覽器首頁

綜上，火絨建議廣大用戶使用正版操作系統，在安裝系統後優先安裝安全軟體，從而避免感染此類病毒。

三、附錄

文中涉及樣本SHA256：