吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 60915|回复: 615
收起左侧

[PC样本分析] 金山毒霸“不请自来” 背后竟有黑产推波助澜

    [复制链接]
火绒安全实验室 发表于 2019-8-27 20:33
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】近日,火绒收到多位网友反馈,称在未安装“火绒安全软件”的情况下被静默安装了金山毒霸软件,甚至卸载后再次被安装,不堪其扰。鉴于此前已有不少用户反馈此类情况,火绒工程师高度重视,对金山毒霸的推广渠道进行重点跟踪分析,发现其除了通过第三方软件(驱动精灵、QQ音乐等)、下载站下载器推广外,更是存在利用多个病毒进行推广的恶行。
Image-4.png
病毒推广流程图
火绒工程师此次截获到的病毒为“Mint”、“BlackRain”两大家族。病毒自身均通过恶意软件在网络上传播,并静默推广金山毒霸等软件。其中,病毒“Mint”除了推广金山毒霸外,还会传播伪装成天气软件的“BlackRain”病毒,再由“BlackRain”病毒继续静默推广金山毒霸以及其它软件。通过“火绒威胁情报系统”监测到,上述病毒传播量已相当大,截止到目前,感染上述病毒的用户量据估算至少在几十万量级。“火绒安全软件”最新版本可查杀上述病毒。
Image-5.png
更为讽刺的是,金山猎豹安全团队曾在2018年对病毒Mint进行过披露,并在当时进行了相关技术分析,然而截至目前,金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。这背后各种,不得不引人深思。
另外,除了利用病毒推广,通过第三方软件(驱动精灵)以及下载站下载器推广也是金山毒霸惯用的手段。在这些第三方软件安装界面,取消安装金山毒霸的勾选框极为隐蔽,多与背景色相同,用户难以察觉,一不小心就被安装金山毒霸。
就在今年上半年,金山毒霸因“浏览器主页劫持”等互联网技术霸凌现象被人民日报进行连续点名报道,而今又被用户反馈利用病毒进行恶意推广的勾当,这折射出的是部分厂商对用户利益的盘剥与傲慢的态度,无异于在透支用户的信任:连安全厂商都行流氓、违法之举,那么其它流氓软件行为岂不更无法无天?
火绒认为,金山毒霸作为一网络安全厂商,应当担负对应的道德责任,对于暴露出的问题,应当猛药去疴、重典治乱,将技术用于正轨,同时,火绒也敦促金山毒霸团队彻查此次事件,并停止后续伤害用户甚至非法的推广行为,真正做到其负责人回应人民网所说的“守住商业底线,净化网络环境”。
附:【分析报告】

一、        背景
近日,火绒收到多位网友反馈,称在未安装火绒安全软件的情况下被静默安装了金山毒霸软件,甚至卸载后再次被安装,不堪其扰。于是,我们对金山毒霸的推广渠道进行了梳理,发现其主要推广渠道除其他软件推广(驱动精灵、QQ音乐等)和下载站下载器推广外,居然还存在利用病毒进行恶意推广的行为。金山毒霸几类推广渠道日推广量占比大致如下:
Image-6.png
推广渠道占比
其他软件推广安装时,虽然会出现推广其他软件的勾选项,但是此类勾选项文字通常与背景色非常相近,如果用户不注意观察,很容易被捆绑其他第三方软件。以占比较大的驱动精灵为例,如下图所示:
Image-7.png
安装时推广安装
一些软件在卸载时也会有推广行为,仍以占比较大的驱动精灵为例,如下图所示:
Image-8.png
卸载时推广安装
通过火绒终端威胁情报系统,我们梳理出了一些下载站的下载器会推广安装金山毒霸。推广金山毒霸的下载器我们仅以部分文件名称为例,如下图所示:
Image-9.png
下载站下载器推广安装
与前两种推广方式类似的推广形式五花八门,用户只要稍有不留神就会被静默安装。不过这些推广基本都有相应的勾选,所以用户如果在安装软件、卸载软件、升级软件以及各类软件弹窗功能性和非功能弹窗等等各个环节处处小心提防、对所有提示信息谨慎对待,甚至有时还需要一些“深奥”的文学功底和逻辑能力,总之还是可以避免踩坑的。但利用病毒推广,用户就没有这么“幸运”了。下面,本文将对火绒截获到的两个金山毒霸用来恶意推广的病毒进行详细分析。

二、        病毒分析
通过火绒终端威胁情报系统进行追查,我们发现一批通过恶意软件推广牟利的病毒样本自2019年7月以来持续活跃,此次被截获的病毒样本分属于两个病毒家族Mint和BlackRain,其中BlackRain病毒推广金山毒霸推广量较大。更为讽刺的是,金山猎豹安全团队曾在2018年对病毒Mint进行过披露,并在当时进行了相关技术分析,然而截至目前,金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。相关报告链接:http://sem.duba.net/info/201812101124.shtml。病毒推广流程,如下图所示:
Image-10.png
病毒推广流程

Mint病毒
Mint病毒代码逻辑与2018年相比,整体逻辑无明显变化,恶意行为意图完全相同,恶意行为包括:软件安装推广、快捷方式链接推广、广告弹窗和浏览器首页篡改。该病毒首先会将%appdata%\Microsoft\PstFev\core.dat中的文件内容进行解密,之后将解密后的原始PE文件注入到其启动的svchost.exe进程中,被注入后的svchost.exe会根据%appdata%\Microsoft\PstFev\setting.xml中的推广配置实施恶意推广逻辑,下文称之为推广核心模块。之后解密%windir%\system32\PstLanuage.dat释放、执行随机名服务动态库。随机名服务主要逻辑是将Mint病毒注入到svchost.exe进程中执行,继续执行病毒逻辑。
Mint病毒会被注入到svchost.exe进程中执行,除释放病毒相关数据文件外,主要用于更新病毒模块。相关代码,如下图所示:
Image-11.png
更新病毒模块
病毒会根据C&C服务器(hxxp://ver.qitianst.com)请求更新配置Version.ini,在配置文件中包含推广配置、推广核心模块和PstLanuage.dat的更新地址。配置文件数据,如下图所示:
Image-12.png
更新配置
更新随机名服务动态库数据(%windir%\system32\PstLanuage.dat),相关代码逻辑,如下图所示:
Image-13.png
更新PstLanuage.dat相关代码逻辑
通过解密PstLanuage.dat获取到随机名服务动态库,注册随机名服务相关代码,如下图所示:
Image-14.png
注册随机名服务
解密释放随机名服务动态库文件。相关代码,如下图所示:
Image-15.png
释放随机名动态库
推广核心模块更新后,会被加密存放在%appdata%\Microsoft\PstFev\core.dat文件中。该模块数据由病毒主模块调用,解密后会将原始镜像数据注入到svchost.exe进程。更新推广核心模块数据相关代码,如下图所示:
Image-16.png
更新推广核心模块数据
将推广核心模块注入到svchost.exe进程,相关代码,如下图所示:
Image-17.png
将解密注入svchost.exe

随机名服务
随机名动态库主要逻辑为在内存中加载一个被加密的动态库镜像,之后执行镜像的导出函数“run”。相关代码,如下图所示:
Image-18.png
解密执行被加密的镜像数据
被解密出的动态库镜像执行后,会解密的原始病毒镜像,将病毒镜像注入到svchost.exe进程中执行,该病毒镜像与最上层的Mint病毒相同,从而更新病毒主模块。相关代码,如下图所示:
Image-19.png
更新病毒主模块数据并注入svchost.exe

推广核心模块
推广核心模块会被加密存放在%appdata%\Microsoft\PstFev\core.dat文件中。该模块数据由病毒主模块调用,解密后会将原始PE镜像数据注入到svchost.exe进程中执行。推广核心模块会根据%appdata%\Microsoft\PstFev\setting.xml中的配置内容执行相应的推广策略。推广策略主要包含有软件安装推广、弹窗推广、快捷方式链接推广。解密后的配置文件内容,如下图所示:
Image-20.png
弹窗广告及快捷方式链接推广配置
在软件安装推广相关配置内容中,除了其他第三方软件外,还包含有金山旗下两款软件(金山毒霸和驱动精灵)的推广配置。截至目前,我们监测到的Mint病毒推广金山毒霸相关推广数据占比较少,不排除病毒临时测试推广的可能性。金山旗下软件相关推广配置,如下图所示:
Image-21.png
软件安装推广配置
通过火绒终端威胁情报系统筛查,我们发现,上图中名为“kduba_u59933452_sv1_97_2.exe”金山毒霸安装包文件数字签名时间为2019年5月14日,我们则在2019年5月17日首次监测到该推广包的相应推广安装行为。相关数据,如下图所示:
Image-22.png
“kduba_u59933452_sv1_97_2.exe”安装包推广量
“kduba_u59933452_sv1_97_2.exe”安装包文件数字签名信息,如下图所示:
Image-23.png
安装包数字签名信息
除此之外,我们在同一个推广配置中还发现了一款伪装成天气软件的病毒程序,我们将其命名为BlackRain病毒,在下文中进行详细分析。相关配置内容,如下图所示:
Image-24.png
病毒推广配置

BlackRain病毒
BlackRain病毒主要通过病毒推广的形式进行传播,该病毒执行后会根据C&C服务器返回的推广配置进行恶意软件推广。病毒伪装成天气软件,自身没有实际的功能,只会根据请求下来的配置文件推广软件和浏览器插件。根据目前请求到的配置文件信息,病毒在执行恶意推广时会避开北京、广州和深圳这三个城市。病毒文件信息,如下所图示:
Image-25.png
病毒文件信息
在该BlackRain病毒的推广策略中包含有大量的软件推广,其中浏览器插件推广居多,软件安装包推广策略中只推广金山毒霸。配置文件内容,如下图所示:
Image-26.png
配置文件
病毒运行后会从资源节解出Everything.exe和Everything.ini,之后加载执行Everything,用于查找浏览器主程序的文件路径。从配置文件中获取任意一个插件的URL地址,下载插件并调用找到的浏览器程序,安装插件。之后向安装扩展程序的窗体发送确认消息完成插件安装。相关代码,如下图所示:
Image-27.png
从资源节中解出Everything
Image-28.png
使用Everything查找浏览器可执行文件路径
Image-29.png
下载插件crx文件
Image-30.png
调用浏览器安装插件
Image-31.png
向安装插件窗体发送确认消息
受该病毒影响的浏览器,如下图所示:
Image-32.png
浏览器
被推广的浏览器插件,如下图所示:
Image-33.png
被推广的浏览器插件
从配置文件中取得推广程序的URL地址,下载到C:\Program Files\EXEDOWN目录下并执行,目前推广的程序仅有金山毒霸。相关代码,如下图所示:
Image-34.png
推广软件
病毒会检查配置文件中的版本信息,如果版本与自身的版本不同,则会进行自身的更新。相关代码,如下图所示:
Image-35.png
自我更新
病毒会创建开机自启的服务项,用于开机启动。相关代码,如下图所示:
Image-36.png
创建服务

三、        附录
病毒hash
Image-37.png

点评

真实感受,金山根本就是病毒,无意间各种安装,360以前还好!现在会给你安装安装垃圾软件,什么桌面助手,开机助手,手机助手,浏览器,真是烦,早就删除了,就剩火绒比较干净  发表于 2019-8-28 23:23

免费评分

参与人数 248吾爱币 +243 热心值 +231 收起 理由
yinchangsheng58 + 1 + 1 我很赞同!
shandadawang + 1 + 1 我很赞同!
灵影 + 1 + 1 谢谢@Thanks!
BG沉默 + 1 用心讨论,共获提升!
lijoicq + 1 + 1 我很赞同!
lwx8 + 1 + 1 我很赞同!
绝天魔帝 + 1 用心讨论,共获提升!
七天 + 1 我很赞同!
苏小yy阁下 + 1 + 1 热心回复!
悲伤的大猪蹄子 + 1 我很赞同!
ababa + 1 + 1 谢谢@Thanks!
atpx4869 + 1 + 1 谢谢@Thanks!
LeeHe + 1 + 1 金山毒瘤
Sasuke丶轮回 + 1 + 1 我很赞同!
觉觉得 + 1 我很赞同!
Claud + 1 + 1 谢谢@Thanks!
大头寀 + 1 + 1 我很赞同!
supergm + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
道樂宴 + 1 + 1 谢谢@Thanks!
土狼 + 1 + 1 金山毒霸改名金山毒瘤~~
kernal。 + 1 + 1 热心回复!
毛新航 + 1 我很赞同!
天蝎的未来 + 2 + 1 用心讨论,共获提升!
lyj01-cn + 1 + 1 用心讨论,共获提升!
大哥金 + 1 + 1 谢谢@Thanks!
SomnusXZY + 1 + 1 热心回复!
ZSYFLY + 1 + 1 热心回复!
风中的风z + 1 + 1 我很赞同!
lmzx + 1 + 1 用心讨论,共获提升!
老和尚 + 1 + 1 注入线程太恶心了!
拐角 + 1 金山,毒霸。 名字不是很直白的告诉你了吗
laughingsir38 + 1 + 1 热心回复!
antutu + 1 + 1 几年前就抛弃金山了,这真是越来越毒瘤了
悠然飘渺 + 1 + 1 我很赞同!
yangsd973 + 1 + 1 用心讨论,共获提升!
hyk7299 + 1 + 1 我很赞同!
丶峰宇 + 1 + 1 我很赞同!
槑槑小萌 + 1 + 1 我很赞同!
忆流年 + 1 + 1 用心讨论,共获提升!
haoren9062 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lyqjqly + 1 + 1 谢谢@Thanks!
独行风云 + 1 + 1 我很赞同!
汉庭劶 + 1 + 1 谢谢@Thanks!
维系小冉 + 1 鼓励优秀软件安全工具和文档!
wql258360 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
淅沥西里 + 1 谢谢@Thanks!
JustinLiu + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zengshun160 + 1 + 1 我很赞同!
陈天雄 + 1 + 1 谢谢@Thanks!
pdawg00 + 1 火绒是干净,主要火绒就那么大,有没有插件在里面很容易看得出来。
itxp + 1 + 1 热心回复!
空不了 + 1 + 1 我很赞同!
迷茫的梦想 + 1 + 1 驱动精灵恶意篡改主页更改系统设置导致uc 360 QQ游览器页面一度打不开,起.
mozart8341 + 1 + 1 我很赞同!
无痕567 + 1 + 1 谢谢@Thanks!
feiwanle + 1 + 1 我很赞同!
nnq1234 + 1 + 1 谢谢@Thanks!
snccwt + 1 + 1 谢谢@Thanks!
ssssssssssrrrr + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
1103761145 + 1 + 1 热心回复!
gmleeben + 1 + 1 我很赞同!
cheng1998 + 1 + 1 我很赞同!
追风少年丶 + 1 我很赞同!
ip99999 + 1 + 1 我很赞同!
天使的练习 + 1 + 1 谢谢@Thanks!
比蟋蟀还帅 + 1 + 1 我很赞同!
随风而逝~~ + 1 + 1 我很赞同!
fengyingchun + 1 + 1 猎豹浏览器确实垃圾了 速度慢广告还多 看了你这帖子我马上卸载列表浏览.
sunwan523 + 1 + 1 我很赞同!
h45673 + 1 + 1 谢谢@Thanks!
小星学破解 + 1 + 1 珍爱生命远离国产全家桶
海德哈默 + 1 + 1 金山很早就不用了,一直火绒
陈世界 + 1 + 1 我很赞同!
你就别回头了 + 1 + 1 我很赞同!
mirrormiller + 1 + 1 谢谢@Thanks!
麦的祸冷 + 1 + 1 谢谢@Thanks!
悠悠娴娴 + 1 + 1 热心回复!
你好吃干脆面吗 + 1 + 1 电脑裸奔了很久直到发现火绒
池塘春草 + 1 + 1 用心讨论,共获提升!
clover52pj + 1 + 1 谢谢@Thanks!
牛逼烘烘~ + 1 + 1 珍爱生命远离国产全家桶
919990 + 1 + 1 热心回复!
NC1991 + 1 + 1 用心讨论,共获提升!
dywm + 1 + 1 热心回复!
i你然爹 + 1 + 1 支持火绒!
抱歉、 + 1 早几百年前就不用金山了,甚至看到就烦躁...
伟大娃娃.. + 1 + 1 我很赞同!
wwwmirage + 1 + 1 我很赞同!
Leoken + 1 + 1 谢谢@Thanks!
star0272 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
CC_SYY + 1 还是火绒干净,目前为止没有让人失望过
thinkpad_420 + 1 + 1 热心回复!
花二娘 + 1 来个专杀就更好了
试试去爱你 + 1 + 1 为什么金山要叫做毒霸勒?你懂了嘛我反正是懂了。
shingowxh + 1 + 1 金山肿么了?
yanguichao + 1 + 1 作为网管深受其害。
awzs7758520 + 1 + 1 我很赞同!
suiyunye + 1 + 1 谢谢@Thanks!
朽木音子 + 1 + 1 我很赞同!
fllc + 1 让老周去手撕

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

山上石 发表于 2019-8-27 21:10
当年收费时代还好。被腾讯收购后,就成了国内最大的流氓杀软。
winer 发表于 2019-8-28 14:01
本帖最后由 winer 于 2019-8-28 14:03 编辑

唉.....金山原来还挺好的啊
就从七八月分开始,chrome首页经常被劫持,查了半天发现注册表、快捷方式启动项都没什么问题,是启动的命令行被改了

又查了一遍发现时当时安的驱动精灵没卸,并且安完驱动之后,只要卸掉驱动精灵好像驱动就失效了
一年前就已经静默在我电脑上装护眼大师了 安装路径 C:\Program Files (x86)\khealtheye\keyemain.exe 安过金山一家的可以看看有没有
卸了之后也反复装,现在想卸载驱动精灵也卸载不掉,他们给那个程序卸载下一步就是点不了,直接删文件夹要么权限不足要么就是被占用
最后还是开机进的命令行模式才提权删了它,再把那个目录加锁不允许访问,注册表手动清掉所有含kingsoft和DriverGenius条目才行
还要记得把它拉的那坨khealtheye一起清掉,要不然网上有人反映卸载之后留着哪个又自己安回来了

本以为现在终于清静了,结果刚才一看,那天卸载的时候进的命令提示符的安全模式,火绒没跑起来,不知道是哪一条又把khealtheye安上了
好在目录禁止访问,注册表也不允许写入含有khealtheye的内容,现在还没被运行过啥事没有,赶快删了它,不能留

总结一下,这破玩意想安只要10秒钟,甚至后台静默安装你都不知道,想完全卸了它.....嗯一小时起步吧

免费评分

参与人数 2吾爱币 +1 热心值 +1 收起 理由
依旧_浅笑 + 1 好幸酸
xouou + 1 从金山诞生起,一直这样,从未改变

查看全部评分

暗夜协奏者 发表于 2019-8-27 20:56
派大星星 发表于 2019-8-27 21:01
前几天刚发现被装了金山毒霸,太流氓了,我这辈子都不会用它了
xzm6l 发表于 2019-9-1 09:41
金山、360、腾讯管家,确实是一丘之貉。而且使用这些软件的往往是对电脑维护一巧不通的人,结果就是一台电脑同时被安装有金山、360和腾讯管家,它们互相冲突,严重拖慢系统,电脑慢得几乎无法使用。
MJFcoNaN 发表于 2019-8-27 21:04
几年前,曾经试用过一阵子金山的安全软件,记得有一次病毒无法彻底删除,联系金山的工程师,然后建议我下载xuetr手动删除。。。虽然后来金山的软件用得少,但对金山还是挺有好感的。捆绑安装倒也罢了,竟然通过病毒推广。。。
zghsgi 发表于 2019-9-1 20:20
每次一看到电脑有金山毒霸先卸载再说
小狼001 发表于 2019-8-27 20:50
学习了,非常不错的解析。
AC12138 发表于 2019-8-27 20:59
大佬就是大佬
天上的猫 发表于 2019-8-27 21:00
这是大佬
suchunping 发表于 2019-8-27 21:00
现在这样的公司太多了,要生存没办法
FleTime 发表于 2019-8-27 21:05
更是存在利用多个病毒进行推广的恶行

金山作为杀软,竟然。。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-21 20:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表