网站 › 『病毒分析区』 › 激活工具带毒，静默安装360、2345系列软件

火绒安全实验室 发表于 2022-10-10 10:13

激活工具带毒，静默安装360、2345系列软件

本帖最后由 火绒安全实验室 于 2022-10-10 15:28 编辑

近期，火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息，并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件，不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒；【软件安装拦截】功能可拦截被推广的软件。

被推广的软件

病毒查杀图



通过百度搜索“激活工具”发现，排名靠前的三条搜索结果都在传播该病毒，这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。

百度搜索结果


进一步溯源该激活工具的网址hxxp://wd9.hmd888.top，发现该域名属于“桂林市木兮网络科技有限公司”，该公司的网站备案信息，如下图所示：

该公司网站备案信息


详细分析
病毒启动后会从远程服务器上下载恶意配置信息，并执行对应的恶意行为，如：下载、执行任意文件，后台静默安装软件等。病毒的执行流程，如下图所示：

病毒的执行流程


Setup_Activator.exe是初始化模块，该模块是个Autoit脚本编译的，并使用混淆手段来躲避杀毒软件查杀。相关代码，如下图所示：


被混淆的代码

将其去混淆后，发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块，并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码，如下图所示：

释放激活工具和恶意模块代码为恶意模块



创建任务计划进行持久化，每次开机的时候都会启动。相关代码，如下图所示：

创建计划任务进行持久化


根据系统版本来执行不同的激活工具。相关代码，如下图所示：

根据系统版本的不同执行不同的激活工具


在kmsactivation.exe 模块中，首先从hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt 获取恶意配置信息，再根据恶意配置信息来执行特定的恶意行为，如：下载、执行任意文件，后台静默安装软件等。相关恶意配置信息，如下图所示：

恶意配置信息


根据恶意配置信息下载、执行任意文件。相关代码，如下图所示：

根据恶意配置信息下载、执行任意文件


该模块还会过滤指定城市，对指定城市以外的地方，额外安装一些软件（腾讯电脑管家），获取用户当前所在城市。相关代码，如下图所示：

过滤用户所在城市



根据恶意配置信息，后台静默推广软件，并对指定城市以外的地方，额外安装一些软件（腾讯电脑管家）。相关代码，如下图所示：

后台静默推广软件



附录
C&C服务器列表：



病毒HASH：

溜玩音乐 发表于 2022-10-10 10:20

我就想知道，这种垃圾网络公司，捆绑病毒的行为，是否违返危害计算机信息系统的相关法律，国家处罚例如如何。

a774733519 发表于 2022-10-10 11:20

TEL安排一波19997932241
有能力的老铁安排下小卡片贴WC，小姐姐上门服务
这种行为不能惯着

天眼查【还有个公司为相同的法定代表人】
桂林万事胜意文化传媒有限责任公司
成立于2022年01月17日，
注册地位于临桂区临桂镇西城北路2号耀辉美好家园27幢1单元7层01号，
法定代表人为王鑫瑞。

经营范围包括一般项目：文化娱乐经纪人服务;广告设计、代{过}{滤}理;广告发布;广告制作;文具用品零售;城乡市容管理;组织文化艺术交流活动;平面设计;鞋帽零售;软件开发;第一类医疗器械销售;技术服务、技术开发、技术咨询、技术交流、技术转让、技术推广;国内贸易代{过}{滤}理;第二类医疗器械销售;商标代{过}{滤}理;税务服务;健康咨询服务（不含诊疗服务）;互联网销售（除销售需要许可的商品）;知识产权服务（专利代{过}{滤}理服务除外）;企业形象策划;市场营销策划;企业管理咨询;教育咨询服务（不含涉许可审批的教育培训活动）;信息咨询服务（不含许可类信息咨询服务）;人力资源服务（不含职业中介活动、劳务派遣服务）;法律咨询（不包括律师事务所业务）;版权代{过}{滤}理。（除依法须经批准的项目外，凭营业执照依法自主开展经营活动）

k452b 发表于 2022-10-10 14:40

a774733519 发表于 2022-10-10 11:20
TEL安排一波19997932241
有能力的老铁安排下小卡片贴WC，小姐姐上门服务
这种行为不能惯着


19997932241
18154782641
18178388143
19377314009
19377314006
07735581981
都是他的电话

血花 发表于 2022-10-10 10:24

周鸿祎也就能干点这种事了

danbai 发表于 2022-10-10 16:08

一直用沧水的kms激活
http://kms.cangshui.net/

wtflxk 发表于 2022-10-10 10:18

激活软件带毒多少年这是公开的私密啊，你们现在才拦截{:1_908:}

andersgong 发表于 2022-10-11 16:50

换句话说的话，这些被推广的软件和企业，是否也可以认定为盗版产业链的受益者，是否也应该被小马激活的正版厂商起诉呢？

甜萝 发表于 2022-10-10 10:38

本帖最后由 paypojie 于 2022-10-10 10:39 编辑

这种激活工具信不过 kms yyds{:301_975:}

chidany 发表于 2022-10-10 10:47

所以说激活工具还是要老牌的，现在国产的很多都是带捆绑的，以前那些系统镜像都是如此。

zhaotengkong 发表于 2022-10-10 10:20

还是用正版系统的好

weiya909 发表于 2022-10-10 10:17

上述收到，及时更新病毒库

dioderen 发表于 2022-10-10 10:18

嗯，不敢用了

yuleniwo 发表于 2022-10-10 10:24

有这个竞价排名广告标识也好，绕过不下

sgcyqcyq 发表于 2022-10-10 10:26

感谢大大的发现，又一次告诉小白 免费的东西有毒

cv130 发表于 2022-10-10 10:27

如果安装这些360 2345不给银子 他们就不带这些病毒

查看完整版本: 激活工具带毒，静默安装360、2345系列软件