快压 火绒安全团队发现木马病毒/.ff会劫持用户首页
近日,火绒安全团队发现知名压缩软件“快游”正在传播木马病毒“/.ff”,该木马病毒会劫持被感染电脑的浏览器主页; 此外,“快游”还会推广其他流氓软件,其中也有其自身的流氓行为:弹出广告、自动创建桌面快捷方式等。 由于国内各大下载网站都提供“快速压缩”软件下载,因此传播范围极其广泛。 建议最近下载该软件的用户尽快使用“安全软件”对自己的电脑进行查杀。
UP去尝试了一下,打开了快牙官网。
这...? 于是UP换了浏览器,终于打开了。 我们来看看他们的官方回应。
我想这并不是你做出以下极端事情的理由吧?
图1:“快按”强力推广用户电脑上的软件
当用户从下载网站下载“快按”并安装时,“快按”会判断用户电脑上是否存在安全软件,就像病毒一样避免被安全软件查杀。 如果没有,它会在用户的计算机上捆绑并安装一个名为“Quick Press”的软件。 “主页卫士”软件携带木马病毒“/.ff”。 病毒入侵计算机后,会劫持用户的主页。
快游还存在多种流氓行为,包括在用户电脑上弹出广告、创建“淘宝”、“百度”桌面快捷方式等。 此外,“快游”还将对抗屏蔽广告的软件和工具,以确保其推广灵活性。 窗户不会被挡住。
图2:没有关闭按钮的促销弹出窗口
此外,“快按”还将推广“小黑记事本”、“ABC看图器”等多种流氓软件。 通过查询公司注册信息,火绒工程师发现,虽然“快按”是上海光乐网络科技有限公司的产品,但“小黑记事本”和“ABC看图器”却是上海展盟网络科技有限公司的产品。 ,有限公司,两家公司的法人信息和注册电子邮件地址一致,或由同一团队制作。
“安全软件”无需升级即可检测并查杀木马病毒“/.ff”。 将升级到最新版本可以拦截上述“快按”的流氓行为。
2、病毒来源
近日,火绒安全团队通过火绒威胁情报系统发现,木马病毒/.ff的感染量近一个月来迅速增加。 随后,我们对该病毒木马进行了溯源分析。 近六个月病毒感染曲线如下图所示:
过去六个月的感染人数
火绒已经在2016年查杀了该病毒,目前大部分杀毒软件厂商也查杀了该病毒。 该病毒在网络上的查杀情况如下图所示:
该病毒的检测及查杀情况
通过样本溯源分析,我们发现该类病毒属于一个名为“主页卫士”的小程序,但我们在网上并没有找到该程序的官方网站,只找到了它的推广页面。 如下所示:
首页卫士推广界面
根据推广页面的提示,该程序以静默安装包的形式推广到用户计算机,在用户不知情的情况下安装,并劫持浏览器主页。 安装包的数字签名为CO,LTD。 (上海展盟网络科技有限公司)。 其静默安装包属性如下图所示:
Home Guard静默安装包属性
在分析过程中,我们发现快速压缩软件对该病毒程序进行了推广,如下图所示:
快速新闻推广首页卫士
快压安装包会从hxxp:///n//tui/show.txt请求捆绑的相关配置文件,并根据360安全卫士、金山毒霸、腾讯电脑管家等杀毒产品进行判断配置文件和列表。 通过软件进程是否运行来选择升级策略。 例如,当.exe和.exe进程同时存在时,将不会执行捆绑逻辑,以避免杀毒软件。 一般恶意代码都会利用这个判断。 逻辑。 配置文件信息,如下图:
捆绑所需的配置文件
3. 详细分析
1.软件推广
除了捆绑下载锁优先病毒外,我们发现快速压缩软件在程序升级时还会推动其他软件。 具体推广逻辑如下。
升级时,快速压缩程序会从hxxp:///n/tui//v1.0.3.0/-8.exe下载一个名为.exe的流氓软件。 流氓软件会向云服务器请求推广软件相关信息。 政策信息,并根据当前用户的计算机环境实施不同的推广策略以获得收益。 .exe文件属性,如下图:
.exe 文件属性
.exe的主要逻辑如下图所示:
.exe执行逻辑
当 .exe 运行时,它将请求 hxxp:///n/tui//kb.xml 来获取确定捆绑环境所需的策略文件。 解密后的策略文件部分如下图所示:
解密的策略文件
该策略文件中使用的标签如下图所示:
判断标签
.exe会主动判断一些常见的杀毒软件进程,如下图:
由.exe确定的反软件进程
以下面的策略为例。 当频道号为“”且存在进程“.exe”时,从URL对应的地址获取安装包下载路径和运行所需的命令行配置文件。
策略示例
得到的安装包下载路径以及运行所需的命令行配置文件,解密后如下图:
配置文件
然后.exe会解析配置文件中安装包的下载地址和运行参数,下载并运行安装包。 安装包运行后,会解析其参数,并创建KZTui.exe进程来执行升级逻辑。
拉出KZTui.exe
KZTui.exe运行后会向hxxp:///n/kztui/kb/def.txt请求升级软件相关的配置信息。 如下所示:
推广软件配置文件
我们发现,被推广的软件有一半属于上海展盟网络科技有限公司,被推广的软件列表如下:
推广软件列表
KZTui.exe会根据配置文件中对应的Reg字段判断当前系统是否安装了此类软件,并弹出窗口提示用户安装列表中未安装的三个软件。 值得注意的是,本次促销弹窗并未关闭。 按钮。 促销弹窗,如下图:
促销弹出窗口
除了捆绑软件之外,KZTui.exe还会在桌面上创建垃圾快捷方式,如下图:
桌面快捷方式已创建
2、广告弹窗
快压程序安装后,会在安装目录的x86目录下释放一个.exe流氓软件。 文件描述为“快按检查更新程序”,文件属性如下图所示:
.exe 文件属性
每次启动电脑时,快捷右键菜单扩展名.dll都会通过.exe启动.exe。 观察 Sword中的启动流程,如下图所示:
.exe启动过程
启动后会检测当前的运行环境,并根据检测结果下载并执行相应的广告程序。 Sword中的监控流程如下图所示:
Sword监控.exe运行进程
运行后会向hxxp:///n//urls.xml请求配置文件。 该配置文件存放的是判断是否弹出窗口所需的配置文件地址。 如下所示:
url.xml 解密内容
之后会去配置文件中对应的地址请求与判断条件相关的配置文件。 以hxxp:///n//tips/kb.xml为例,主要根据是否查看热点新闻、低版本和过高版本进行判断。 、特殊渠道、反软环境、时间段等,判断逻辑与软件推广相关代码逻辑相同,此处不再赘述。 解密后的配置文件部分如下图所示:
配置文件判断弹窗是否存在
如果当前环境满足判断条件之一,则获取对应的URL。 URL对应的配置文件中存储了需要下载的广告程序的URL、文件保存路径以及执行所需的参数,如下图所示:
下载弹出程序所需的配置文件
由于配置文件在云端可控,流氓软件使用随机路径和随机文件名来对抗弹出窗口拦截程序和弹出广告程序文件夹,如下图所示:
使用随机路径+随机文件名对抗弹出窗口拦截软件
下载的广告程序属性如下图所示:
文件属性
提示和迷你新闻运行后,会弹出广告窗口快压,如下图:
广告弹窗对应提示
迷你新闻广告弹窗
4. 同源性分析
经过安全团队分析,发现上海广乐网络科技有限公司的产品快元(Quai)以及上海展盟网络科技有限公司的产品小黑记事本和ABC图片浏览器均受到影响。 ,都带着这样的流氓软件。 我们核对两家公司的注册信息后发现,两家公司的法定代表人为同一人,注册邮箱也相同。 企业注册信息对比,如下图:
两家公司注册信息对比
两家公司产品的部分文件属性如下图所示:
快速压缩安装包,携带流氓程序属性
ABC看图安装包及其携带的流氓程序特性
黑色记事本安装包及其携带的流氓程序属性
快速按下迷你新闻页弹窗,即可用ABC和小黑记事本查看图片,如下图:
迷你新闻弹窗对比
经过我们的分析,我们发现它们的代码也高度相似,运行时创建的互斥体也一模一样。 部分代码对比如下图所示:
代码相似度比较
5. 附录
文章中包含的示例:
喜欢UP的朋友可以帮忙转发让更多人知道吗?
也记得给UP一个三路支持!
