|
1、概述
今朝,国表里平安软件仅对该病毒举行查杀,其实不查杀该病毒植入的某些歹意插件,这致使被传染用户在主病毒被杀以后,仍然面对被进犯的危害。2015年,360平安团队曾暴光过该病毒团伙,以后该团伙有所收敛,近来他们重出江湖,并操纵激活东西传布病毒。
火绒工程师阐发发明,病毒作者将病毒FakeExtent植入到 KMSTools、狂风激活东西V17.0等软件激活东西中,并上传到 WIN7之家等下载站中,用户一旦下载并运行上述软件,该病毒就会传染电脑,向用户阅读器中安装名为天馨景象和星驰气候助手病毒插件。并向IE阅读器中添加BHO插件。
上述歹意插件进入用户电脑后,将会挟制阅读器流量、网页告白弹窗和将下载的安装包更换为病毒作者供给的渠道包,然后挂上和上游公司分成的计费名,以和其分成。
火绒工程师发明BHO插件带有上海旻嘟收集科技有限公司署名,截至发稿,除火绒外,仍没有平安厂商对该插件报毒。
按照火绒工程师溯源阐发,这次火绒发明的病毒插件与2015年就被暴光过的病毒插件叮叮气候公司法人信息根基一致,可以确认为统一个病毒建造团伙所为。
2、开端阐发
前段时候火绒平安团队发明一款假装成阅读器插件的歹意步伐,在火绒对其举行查杀后,咱们对该病毒传染环境举行了延续追踪,通偏激绒威逼谍报体系监测和评估,已稀有十万台电脑被该病毒传染。在多引擎查杀成果中,发明大部门平安厂商都未能对该病毒举行查杀。多引擎查杀扫描成果,以下图所示:
图 一、多引擎查杀成果
该歹意步伐会经由过程再打包方法将歹意步伐安装包打包到体系激活东西中,再将从新打包的激活东西上传至Win7之家等下载站(win7zhijia.cn)。下载页面,以下图所示:
图 二、含有歹意步伐的下载站
常见被绑缚该病毒的激活东西,以下图所示:
图 三、被绑缚的激活东西
歹意步伐安装包运行后不单会测验考试开释多款阅读器插件举行流量挟制,还会为歹意步伐安装包建立自启动项,每次开机城市检测插件摆设环境,若是插件不存在则会再次举行开释。受该病毒影响的部门阅读器,以下图所示:汽機車借款,
图 四、受该病毒影响的部门阅读器
阅读器重要歹意举动以下:
1.封闭操作体系UAC权限办理,添加自启动项。
2.在用户拜候网页时,会跳转到带有病毒作者推行计费号的网址。
3.将下载的安装包更换为病毒作者供给的渠道包。
4.在拜候网页中插入浮窗告白。
5.在用户拜候购物网站时,将商品链接改换为作者的CPS返利链接。
歹意阅读器插件,以下图所示:
图 五、Chrome被挟制后
图 六、IE阅读器被挟制后
歹意阅读器插件会在所有被拜候页面代码中插入歹意剧本,如当拜候baidu或其他导航站页面时,被插入的歹意代码会将页面跳转到用于流量挟制的跳转页面,最后再跳转到带有病毒作者推行计费号的URL地点。比方在拜候baidu时,起首会跳转到www.fj066.com 然后重定向到携带推行计费号的网址hxxps://www.百度.com/?tn=939淫乱**_hao_pg。
图 七、被挟制的baidu页面
如上图所示,网页源码中已被添加了歹意剧本。?
3、具体阐发
被绑缚的激活东西运行后会先将歹意步伐安装包开释在Temp目次下并运行。安装包会把文件开释在C:\Windows\Help\IBM中,然后设置自启动项,经由过程点窜注册表键值的方法封闭UAC(User Account Control),紧张低落了用户的计较机的平安性。歹意步伐地点目次和被点窜的注册表路径,以下图所示:
图 八、病毒开释出来的文件
图 九、病毒点窜的部门注册表键值
开释出的TxExtent.exe和XCExtent.exe别离会开释天馨景象和星驰气候助手到Extensions目次。并将该子虚插件安装到对应阅读器中。值得一提的是,该病毒在工程名里把本身称作地痞镜像快马。歹意步伐PDB路径,以下图所示:
图 十、歹意步伐PDB路径
在Chrome阅读器被安装歹意插件后的注册脸色况,以下图所示:
图 十一、Chrome中注册插件
歹意插件将本身假装为气候插件,但现实运行中因表层代码犯错,已无任何现实软件功效。插件运行环境,以下图所示:
图 1二、插件运行
接下来,咱们来阐发插件内部的挟制逻辑。按照插件设置装备摆设信息,插件总体分为三个部门,包含:config.js、backgroud.js和l.js。此中config.js为剧本运行的相干设置装备摆设信息,寄存了C&C办事器地点和设置装备摆设ID,每一个设置装备摆设ID都对应分歧的挟制逻辑。颠末咱们统计,此类设置装备摆设ID最少有100多种。config.js代码内容,以下图所示:
图 1三、设置装备摆设文件
l.js为Content Scripts剧本,歹意插件可以经由过程该剧本捕捉所有的收集哀求,在每一个相应后添加长途歹意JS剧本。相干代码,以下图所示:
图 1四、 Content Scripts剧本设置装备摆设
图 15 、经由过程Content Script注入代码
长途脚天职为24个功效模块,格局化后有1500行。剧本运行后,会先解密此中一个模块的设置装备摆设文件。设置装备摆设文件解密后,以下图所示:
图 1六、解密后的设置装备摆设文件
重要功效阐发以下:
1. 在用户拜候网页时,跳转到带有病毒作者推行计费号的网址。
部门被挟制的网站以下:
图 1七、被挟制的部门网址
除上述常见的网站外,歹意剧本还会对此外的一些导航网址(如:hao360.cn)举行过滤,当匹配到这些网址时会强行跳转到带有病毒作者推行计费号的2345网址导航地点,此类导航站地点共300多个。焦点代码逻辑,以下图所示:
图 1八、挟制代码
如上图,歹意剧本会将当前拜候网址和设置装备摆设中的正则表达式举行匹配,匹配乐成则利用redirect法子从新导向hxxp://tx.gwj5.com/p/essw/3001,然后经由过程302跳转到带有推行计费号的网址。
2. 将下载的安装包更换为病毒作者供给渠道包。
歹意插件会将一些软件的官网下载地点和搜刮引擎搜刮成果中的下载地点更换为病毒作者供给的渠道包下载地点,咱们不解除该歹意插件未来将软件下载链接更换为病毒下载链接的可能性。以酷狗音乐为例,在官网点击下载链接,和在baidu和搜狗中搜刮出来的安装包城市被更换为渠道包hxxp://lxdl.591fq.com/kugou7_3655.exe。更换模块部门代码,以下图所示:
图 1九、更换模块代码
部门设置装备摆设,以下图所示:
图20、用于下载更换的设置装备摆设信息
图21 、用于搜刮引擎更换下载链接的设置装备摆设信息
3.在网页中插入悬浮窗告白。
一样利用正则匹配网址,验证阅读器信息是不是合适设置装备摆设里的请求,若合适,则在右下角页面中插入悬浮窗告白。此中如果电商站点则会插入该站点的商品告白,不然会插入低俗的悬浮窗告白。被插入的各种悬浮窗告白,以下图所示:
图 2二、浮窗告白
以设置装备摆设ID为3001的歹意剧本为例,共有40多个网址会被插入浮窗告白。以下图是部门被插入浮窗告白的网站。
图 2三、部蘆洲借貸,门被插入浮窗告白的网址
相干模块代码以下图所示:
图 2四、悬浮窗告白代码
4. 在用户拜候购物网站时,将商品链接改换为作者的CPS返利链接。
在拜候淘宝、京东、苏宁等69家电商网站时,点击商品链接,会跳转到作者的返利链接。部门返利链接,以下图所示:
图 2五、部门电商返利链接
模块代码以下:
图 2六、返利模块代码
IE阅读器BHO插件阐发
寄存在C:\Windows\Help\IBM文件夹下的txweather_x64.dll和txweather_x86.dll是用于挟制IE阅读器的BHO插件。插件的相存眷册表设置装备摆设,以下图所示:
图 2七、BHO相存眷册表设置装备摆设
被安装了该插件后,利用IE拜候网页,也会被插入上述JS剧本。被插入的剧本代码,以下图所示:
图 2八、IE阅读器
值得注重的是,该BHO插件打着上海旻嘟收集科技有限公司的数字署名,截至陈述公布前VirusTotal上绝大大都平安厂商还没有对该批插件举行查杀。以下图所示:
图 2九、VirusTotal报毒截图
火绒可对该病毒的全数歹意代码举行查杀,以下图所示:
图 30、火绒查杀截图
4、溯源阐发
歹意阅读器插件天馨景象官网页面(hxxp://www.591fq.com),以下图所示:
天馨景象官网页面
按照页面中的ICP存案号沪ICP备16025077号,咱们可以盘问到更多网站注册信息。以下图所示:
更多网站注册信息
咱们在上述网站注册信息中找到了名为叮叮气候的网站注册信息。值得一提的是,早在2015年友商就曾对叮叮气候阅读插件举行过查杀。经由过程公司的常识产权信息盘问,咱们发明天馨景象官网域名591fq.com为上海够昂收集科技有限公司注册,且该公司名与友商2015年陈述中所提到的公司名不异。相存眷册信息,以下图所示:
相存眷册信息
前文所述病毒模块中,IE阅读器插件模块带有上海旻嘟收集科技有限公司有用数字署名。文件署名信息,以下图所示:
病毒模块数字署名信息
经由过程比拟公司根基信息后,咱们发明上海够昂收集科技有限公司与上海旻嘟收集科技有限公司系统一家病毒建造公司。公司根基信息比拟,以下图所示:
公司根基信息比拟
5、附录
相干网址
样本SHA256: |
|