知名壓縮軟體"快壓"傳播病毒和多款流氓軟體 劫持流量

來自專欄火絨安全實驗室2,787 人贊了文章

一、 概述

日前，火絨安全團隊發現，知名壓縮軟體"快壓"正在傳播木馬病毒"Trojan/StartPage.ff"，該木馬病毒會劫持被感染電腦瀏覽器首頁；此外，"快壓"還會推廣其他流氓軟體，其自身也存在流氓行為：彈窗廣告、自動創建桌面快捷方式。由於國內各大下載站都提供"快壓"軟體下載，傳播範圍極廣。建議近期下載過該軟體的用戶儘快使用"火絨安全軟體"對電腦進行掃描查殺。

圖1："快壓"給用戶電腦強制推廣軟體

用戶從下載站下載"快壓"並安裝時，"快壓"會像病毒躲避安全軟體查殺一樣，判斷用戶電腦中有沒有安全軟體，如果沒有，則會給用戶電腦捆綁安裝一款名為"WinHome主頁衛士"的軟體，該軟體攜帶木馬病毒"Trojan/StartPage.ff"。病毒入侵電腦後，會劫持用戶首頁。

"快壓"自身也存在多種流氓行為，會在用戶電腦中彈出廣告、創建"淘寶"、"百度"桌面快捷方式。並且"快壓"會對抗攔截廣告的軟體和工具，以保證其推廣彈窗不會被攔截。

圖2：推廣彈窗無關閉按鈕

此外，"快壓"還會推廣"小黑記事本"、"ABC看圖"等多款流氓軟體。火絨工程師通過查詢企業註冊信息發現，雖然"快壓"為上海廣樂網路科技有限公司旗下產品，"小黑記事本"、"ABC看圖"為上海展盟網路科技有限公司產品，但兩家公司的法人信息和註冊郵箱均一致，或系同一團隊製作。

"火絨安全軟體"無需升級即可查殺木馬病毒"Trojan/StartPage.ff"，將火絨升級到最新版，即可攔截"快壓"上述流氓行為。

二、 病毒來源

近日，火絨安全團隊通過火絨威脅情報系統發現木馬病毒Trojan/StartPage.ff的感染量在近一個月內迅速增加，隨後我們對此病毒木馬進行了溯源分析。該病毒近半年的感染量曲線，如下圖所示：

近半年的感染量

火絨於2016年已查殺此病毒，目前大部分殺毒軟體廠商也已查殺此病毒，該病毒在VirusTotal上的查殺情況，如下圖所示：

該病毒在VirusTotal上的查殺情況

通過樣本溯源分析，我們發現此類病毒屬於一款叫"WinHome主頁衛士"的小程序，但是我們在互聯網上並未找到此程序的官網，只找到其推廣頁面。如下圖所示：

主頁衛士推廣界面

根據推廣頁面提示，該程序以靜默安裝包的形式被推廣到用戶電腦上，在用戶並不知情的情況下被安裝上，劫持瀏覽器首頁。該安裝包的數字簽名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.（上海展盟網路科技有限公司）。其靜默安裝包屬性，如下圖所示：

主頁衛士靜默安裝包屬性

在分析過程中，我們發現快壓壓縮軟體會推廣此病毒程序，如下圖所示：

快壓推廣主頁衛士

快壓安裝包會向hxxp://http://i.kpzip.com/n/install/tui/show.txt請求捆綁相關的配置文件，並會根據配置文件中BlockedProcessList，和InjectBlockedProcessList判斷360安全衛士，金山毒霸，騰訊電腦管家等多款殺毒軟體的進程是否運行，以此來選擇推廣策略，例如，當360Tray.exe和kxetray.exe兩個進程同時存在時，則不執行捆綁邏輯，以此來躲避殺毒軟體，一般惡意代碼才會使用這種判斷邏輯。配置文件信息，如下圖所示：

捆綁所需配置文件

三、 詳細分析

1. 軟體推廣

除了捆綁下載鎖首病毒之外，我們發現快壓壓縮軟體在程序升級時會推廣其他軟體，具體推廣邏輯如下所示。

快壓程序在升級時會從hxxp://http://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下載一個名為KuaizipUpdate.exe的流氓軟體，該流氓軟體會向雲端伺服器請求推廣軟體相關的策略信息，並根據當前用戶的計算機環境，執行不同的推廣策略，以此獲取利益。KuaizipUpdate.exe文件屬性，如下圖所示：

KuaizipUpdate.exe文件屬性

KuaizipUpdate.exe主要邏輯，如下圖所示：

KuaizipUpdate.exe執行邏輯

KuaizipUpdate.exe運行時，會向hxxp://http://i.kpzip.com/n/tui/update_agency/kb.xml請求判斷捆綁環境所需的策略文件，解密後的部分策略文件，如下圖所示：

解密後策略文件

該策略文件中使用到的標籤，如下圖所示：

判斷標籤

KuaizipUpdate.exe會主動判斷一些常見的殺毒軟體進程，如下圖所示：

KuaizipUpdate.exe判斷的殺軟進程

以如下策略為例，當渠道號為"rytx2_"且存在進程"QQPCRTP.exe"時，就從url對應的地址獲取安裝包下載路徑和運行所需的命令行配置文件。

示例策略

獲取的安裝包下載路徑和運行所需命令行配置文件，解密後，如下圖所示：

配置文件

然後KuaizipUpdate.exe會解析配置文件中安裝包的下載地址和運行參數，下載並運行安裝包。安裝包在運行之後會解析其參數，並創建KZTui.exe執行推廣邏輯的進程。

拉起KZTui.exe

KZTui.exe在運行後會向hxxp://http://bundle.kpzip.com/n/kztui/kb/def.txt請求推廣軟體相關的配置信息。如下圖所示：

推廣軟體配置文件

我們發現，被推廣的軟體中，有一半是屬於上海展盟網路科技有限公司。被推廣的軟體列表，如下圖所示：

被推廣的軟體列表

KZTui.exe會根據配置文件中對應的Reg欄位來判斷當前系統是否安裝此類軟體，並彈窗提示用戶安裝列表中未安裝的三種軟體，值得注意的是，此推廣彈窗，並無關閉按鈕。推廣彈窗，如下圖所示：

推廣彈窗

除了捆綁軟體之外，KZTui.exe還會在桌面創建垃圾快捷方式，如下圖所示：

創建的桌面快捷方式

2. 廣告彈窗

快壓程序安裝時，會在安裝目錄的x86目錄下釋放一個UpdateChecker.exe的流氓軟體，文件描述為"快壓檢查更新程序"，文件屬性，如下圖所示：

UpdateChecker.exe文件屬性

每次啟動電腦之後，快壓右鍵菜單拓展程序KuaiZipShell.dll會通過explorer.exe啟動UpdateChecker.exe，火絨劍中觀察其啟動流程，如下圖所示：

UpdateChecker.exe啟動流程

UpdateChecker啟動之後，會檢測當前運行環境，並根據檢測結果下載並執行對應的廣告程序。火絨劍中的監控流程，如下圖所示：

火絨劍監控UpdateChecker.exe運行流程

UpdateChecker運行之後，會向hxxp://http://i.kpzip.com/n/updatechecker/urls.xml請求配置文件，該配置文件中存放用來判斷是否彈窗時所需的配置文件地址。如下圖所示：

url.xml解密後內容

之後會去配置文件中對應的地址請求判斷條件相關的配置文件，以hxxp://http://tips.kpzip.com/n/updatechecker/tips/kb.xml為例，判斷依據主要有是否勾選熱點新聞，低版本和過白版本，特殊渠道，殺軟壞境，以及時間段等，判斷邏輯跟軟體推廣相關代碼邏輯相同，此處不做贅述。解密後部分配置文件，如下圖所示：

判斷是否彈窗的配置文件

如果當前環境滿足判斷條件中的一種，就取kun_bang對應的url，該url對應的配置文件中存放要下載的廣告程序網址，文件保存路徑，以及執行時所需的參數，如下圖所示：

下載彈窗程序所需的配置文件

由於配置文件是在雲端可控的，該流氓軟體使用隨機路徑和隨機文件名的方式對抗彈窗攔截程序，彈窗廣告程序文件夾，如下圖所示：

隨機路徑+隨機文件名的方式對抗彈窗攔截軟體

下載的廣告程序屬性，如下圖所示：

文件屬性

小貼士和迷你新聞運行之後會彈廣告窗口，如下圖所示：

小貼士對應廣告彈窗

迷你新聞廣告彈窗

四、 同源性分析

經過火絨安全團隊分析，上海廣樂網路科技有限公司旗下產品快壓（速壓）和上海展盟網路科技有限公司旗下小黑記事本和ABC看圖等軟體均攜帶此類流氓軟體。經過查詢兩家企業的註冊信息，我們發現這兩家公司的法定代表人是同一人，其註冊郵箱也相同。企業註冊信息對比，如下圖所示：

兩家企業的註冊信息對比

兩家企業旗下產品的部分文件屬性，如下圖所示：

快壓安裝包及攜帶的流氓程序屬性

ABC看圖安裝包及攜帶的流氓程序屬性

小黑記事本安裝包及攜帶的流氓程序屬性

快壓迷你新聞頁彈窗和ABC看圖，小黑記事本對比，如下圖所示：

迷你新聞彈窗對比

經過我們分析，發現其代碼也具有高度相似性，且其運行時創建的互斥量也完全相同，部分代碼比較，如下圖所示：

代碼相似性比較

五、 附錄

文中涉及樣本SHA256：