知名壓縮軟體"快壓"傳播病毒和多款流氓軟體 劫持流量

知名壓縮軟體"快壓"傳播病毒和多款流氓軟體 劫持流量

來自專欄火絨安全實驗室2,787 人贊了文章

一、 概述

日前,火絨安全團隊發現,知名壓縮軟體"快壓"正在傳播木馬病毒"Trojan/StartPage.ff",該木馬病毒會劫持被感染電腦瀏覽器首頁;此外,"快壓"還會推廣其他流氓軟體,其自身也存在流氓行為:彈窗廣告、自動創建桌面快捷方式。由於國內各大下載站都提供"快壓"軟體下載,傳播範圍極廣。建議近期下載過該軟體的用戶儘快使用"火絨安全軟體"對電腦進行掃描查殺。

圖1:"快壓"給用戶電腦強制推廣軟體

用戶從下載站下載"快壓"並安裝時,"快壓"會像病毒躲避安全軟體查殺一樣,判斷用戶電腦中有沒有安全軟體,如果沒有,則會給用戶電腦捆綁安裝一款名為"WinHome主頁衛士"的軟體,該軟體攜帶木馬病毒"Trojan/StartPage.ff"。病毒入侵電腦後,會劫持用戶首頁。

"快壓"自身也存在多種流氓行為,會在用戶電腦中彈出廣告、創建"淘寶"、"百度"桌面快捷方式。並且"快壓"會對抗攔截廣告的軟體和工具,以保證其推廣彈窗不會被攔截。

圖2:推廣彈窗無關閉按鈕

此外,"快壓"還會推廣"小黑記事本"、"ABC看圖"等多款流氓軟體。火絨工程師通過查詢企業註冊信息發現,雖然"快壓"為上海廣樂網路科技有限公司旗下產品,"小黑記事本"、"ABC看圖"為上海展盟網路科技有限公司產品,但兩家公司的法人信息和註冊郵箱均一致,或系同一團隊製作。

"火絨安全軟體"無需升級即可查殺木馬病毒"Trojan/StartPage.ff",將火絨升級到最新版,即可攔截"快壓"上述流氓行為。

二、 病毒來源

近日,火絨安全團隊通過火絨威脅情報系統發現木馬病毒Trojan/StartPage.ff的感染量在近一個月內迅速增加,隨後我們對此病毒木馬進行了溯源分析。該病毒近半年的感染量曲線,如下圖所示:

近半年的感染量

火絨於2016年已查殺此病毒,目前大部分殺毒軟體廠商也已查殺此病毒,該病毒在VirusTotal上的查殺情況,如下圖所示:

該病毒在VirusTotal上的查殺情況

通過樣本溯源分析,我們發現此類病毒屬於一款叫"WinHome主頁衛士"的小程序,但是我們在互聯網上並未找到此程序的官網,只找到其推廣頁面。如下圖所示:

主頁衛士推廣界面

根據推廣頁面提示,該程序以靜默安裝包的形式被推廣到用戶電腦上,在用戶並不知情的情況下被安裝上,劫持瀏覽器首頁。該安裝包的數字簽名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.(上海展盟網路科技有限公司)。其靜默安裝包屬性,如下圖所示:

主頁衛士靜默安裝包屬性

在分析過程中,我們發現快壓壓縮軟體會推廣此病毒程序,如下圖所示:

快壓推廣主頁衛士

快壓安裝包會向hxxp://i.kpzip.com/n/install/t請求捆綁相關的配置文件,並會根據配置文件中BlockedProcessList,和InjectBlockedProcessList判斷360安全衛士,金山毒霸,騰訊電腦管家等多款殺毒軟體的進程是否運行,以此來選擇推廣策略,例如,當360Tray.exe和kxetray.exe兩個進程同時存在時,則不執行捆綁邏輯,以此來躲避殺毒軟體,一般惡意代碼才會使用這種判斷邏輯。配置文件信息,如下圖所示:

捆綁所需配置文件

三、 詳細分析

1. 軟體推廣

除了捆綁下載鎖首病毒之外,我們發現快壓壓縮軟體在程序升級時會推廣其他軟體,具體推廣邏輯如下所示。

快壓程序在升級時會從hxxp://download.glzip.cn/n/tui下載一個名為KuaizipUpdate.exe的流氓軟體,該流氓軟體會向雲端伺服器請求推廣軟體相關的策略信息,並根據當前用戶的計算機環境,執行不同的推廣策略,以此獲取利益。KuaizipUpdate.exe文件屬性,如下圖所示:

KuaizipUpdate.exe文件屬性

KuaizipUpdate.exe主要邏輯,如下圖所示:

KuaizipUpdate.exe執行邏輯

KuaizipUpdate.exe運行時,會向hxxp://i.kpzip.com/n/tui/updat請求判斷捆綁環境所需的策略文件,解密後的部分策略文件,如下圖所示:

解密後策略文件

該策略文件中使用到的標籤,如下圖所示:

判斷標籤

KuaizipUpdate.exe會主動判斷一些常見的殺毒軟體進程,如下圖所示:

KuaizipUpdate.exe判斷的殺軟進程

以如下策略為例,當渠道號為"rytx2_"且存在進程"QQPCRTP.exe"時,就從url對應的地址獲取安裝包下載路徑和運行所需的命令行配置文件。

示例策略

獲取的安裝包下載路徑和運行所需命令行配置文件,解密後,如下圖所示:

配置文件

然後KuaizipUpdate.exe會解析配置文件中安裝包的下載地址和運行參數,下載並運行安裝包。安裝包在運行之後會解析其參數,並創建KZTui.exe執行推廣邏輯的進程。

拉起KZTui.exe

KZTui.exe在運行後會向hxxp://bundle.kpzip.com/n/kztu請求推廣軟體相關的配置信息。如下圖所示:

推廣軟體配置文件

我們發現,被推廣的軟體中,有一半是屬於上海展盟網路科技有限公司。被推廣的軟體列表,如下圖所示:

被推廣的軟體列表

KZTui.exe會根據配置文件中對應的Reg欄位來判斷當前系統是否安裝此類軟體,並彈窗提示用戶安裝列表中未安裝的三種軟體,值得注意的是,此推廣彈窗,並無關閉按鈕。推廣彈窗,如下圖所示:

推廣彈窗

除了捆綁軟體之外,KZTui.exe還會在桌面創建垃圾快捷方式,如下圖所示:

創建的桌面快捷方式

2. 廣告彈窗

快壓程序安裝時,會在安裝目錄的x86目錄下釋放一個UpdateChecker.exe的流氓軟體,文件描述為"快壓檢查更新程序",文件屬性,如下圖所示:

UpdateChecker.exe文件屬性

每次啟動電腦之後,快壓右鍵菜單拓展程序KuaiZipShell.dll會通過explorer.exe啟動UpdateChecker.exe,火絨劍中觀察其啟動流程,如下圖所示:

UpdateChecker.exe啟動流程

UpdateChecker啟動之後,會檢測當前運行環境,並根據檢測結果下載並執行對應的廣告程序。火絨劍中的監控流程,如下圖所示:

火絨劍監控UpdateChecker.exe運行流程

UpdateChecker運行之後,會向hxxp://i.kpzip.com/n/updateche請求配置文件,該配置文件中存放用來判斷是否彈窗時所需的配置文件地址。如下圖所示:

url.xml解密後內容

之後會去配置文件中對應的地址請求判斷條件相關的配置文件,以hxxp://tips.kpzip.com/n/update為例,判斷依據主要有是否勾選熱點新聞,低版本和過白版本,特殊渠道,殺軟壞境,以及時間段等,判斷邏輯跟軟體推廣相關代碼邏輯相同,此處不做贅述。解密後部分配置文件,如下圖所示:

判斷是否彈窗的配置文件

如果當前環境滿足判斷條件中的一種,就取kun_bang對應的url,該url對應的配置文件中存放要下載的廣告程序網址,文件保存路徑,以及執行時所需的參數,如下圖所示:

下載彈窗程序所需的配置文件

由於配置文件是在雲端可控的,該流氓軟體使用隨機路徑和隨機文件名的方式對抗彈窗攔截程序,彈窗廣告程序文件夾,如下圖所示:

隨機路徑+隨機文件名的方式對抗彈窗攔截軟體

下載的廣告程序屬性,如下圖所示:

文件屬性

小貼士和迷你新聞運行之後會彈廣告窗口,如下圖所示:

小貼士對應廣告彈窗

迷你新聞廣告彈窗

四、 同源性分析

經過火絨安全團隊分析,上海廣樂網路科技有限公司旗下產品快壓(速壓)和上海展盟網路科技有限公司旗下小黑記事本和ABC看圖等軟體均攜帶此類流氓軟體。經過查詢兩家企業的註冊信息,我們發現這兩家公司的法定代表人是同一人,其註冊郵箱也相同。企業註冊信息對比,如下圖所示:

兩家企業的註冊信息對比

兩家企業旗下產品的部分文件屬性,如下圖所示:

快壓安裝包及攜帶的流氓程序屬性

ABC看圖安裝包及攜帶的流氓程序屬性

小黑記事本安裝包及攜帶的流氓程序屬性

快壓迷你新聞頁彈窗和ABC看圖,小黑記事本對比,如下圖所示:

迷你新聞彈窗對比

經過我們分析,發現其代碼也具有高度相似性,且其運行時創建的互斥量也完全相同,部分代碼比較,如下圖所示:

代碼相似性比較

五、 附錄

文中涉及樣本SHA256:


推薦閱讀:

話題 | 中國警方逮捕盜取加密貨幣惡意軟體開發人員
使用雲伺服器該怎麼防範惡意軟體的攻擊?
安卓手機惡意軟體卸載教程
惡意軟體中的逃避技術,十八般武藝樣樣齊全

TAG:惡意軟體 | 流氓軟體 | 軟體 |