吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 37793|回复: 621
收起左侧

[PC样本分析] 从流氓推广到公然投毒 流氓软件完成黑化

    [复制链接]
火绒安全实验室 发表于 2020-7-22 21:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2020-7-22 21:46 编辑

【快讯】近日,火绒安全团队溯源到一批名为快捷锁屏、极速搜索等流氓软件携带有恶意程序,正通过下载器渠道进行大范围传播。虽然这些软件带有较为简单的正常功能,但其主要目的就是通过暗刷指定网站的关键字搜索排名、劫持流量等恶意行为获取利益,行为几乎与病毒无异。据“火绒威胁情报系统”监测和评估,目前,该恶意程序日均感染数十万台电脑。 火绒用户无需担心,火绒安全软件最新版已对该恶意程序进行拦截查杀;您也可以开启火绒的“下载器拦截”功能,以规避其它安全风险。

Image-4.png

根据火绒工程师分析,上述软件运行后,在开始菜单、桌面等位置均没有创建相关的快捷方式,导致用户难以发现软件的存在,并且会在后台暗刷指定网站的关键字搜索排名、浏览器插件静默推广、劫持流量,从而利用用户电脑谋取利益。另外,该恶意程序还包含有后门模块,因此不排除其随时通过云控下发其它病毒模块到用户本地执行的可能性。 流氓推广的灰色行为早已成为软件行业屡见不鲜的现象,然而更加过分的是,甚至有流氓软件已完全病毒化,他们为了攫取更多的利益,直接向用户投放各类病毒,这种明目张胆的侵犯用户权益的恶意行为和盈利模式,标志着广告推广的“流量生意”已经完全成为黑产。最后,火绒除了及时拦截和查杀外,还会持续关注和曝光此类病毒软件及其行为,帮助用户避免陷入风险。


附:【分析报告】

一、 详细分析

近期,火绒发现一批恶意程序正在通过下载器渠道进行大范围传播,此类恶意程序通常将自身伪装成带有“简单”功能“的正常软件”(如:快捷锁屏、极速搜索)。在恶意程序被植入后,在开始菜单、桌面等位置均没有创建相关的启动快捷方式,导致用户难以发现该软件的存在。该恶意程序会主动规避大型省会城市(如:北京、上海、深圳、珠海、广州等)、安全软件(如:火绒、360、腾讯电脑管家等)和安全分析工具。一旦进入用户电脑,就会通过暗刷指定网站的关键字搜索排名、静默推广流氓浏览器插件等方式,不断利用用户电脑牟取利益,使用户电脑沦为帮助黑客牟利的“肉鸡”。相关恶意程序运行流程,如下图所示:

Image-5.png
恶意模块执行流程

我们以快捷锁屏为例进行分析,快捷锁屏被推广时会在命令行中传入静默安装参数-p。快捷锁屏被下载器静默推广相关配置,如下图所示:

Image-6.png
快捷锁屏被下载器推广相关配置

首先,快捷锁屏主程序ScreenSaver.exe会将广告程序拷贝到%AppData%\SSLocal目录下逐个执行。SSLocal目录下的广告程序,如下图所示:

Image-7.png
SSLocal目录下的广告程序

之后,向远程服务器请求云控配置hxxp://screen.ddLives.com/screen/lock.ini,根据云控配置内容下载执行恶意程序blueberry.exe(使用IE内核)和TsvmService.exe(使用Chrome内核),暗刷指定网站的关键字搜索排名。相关云控配置,如下图所示:

Image-8.png
相关云控配置

根据云控配置,恶意代码会主动规避一些大型省会城市和一些安全相关的软件及工具,其目的主要为躲避安全软件查杀和躲避安全分析人员对其进行逆向分析。被规避的软件进程名,如下图所示:

Image-9.png
被规避的软件进程名

相关代码,如下图所示:

Image-10.png
执行后台暗刷恶意程序相关代码

在进行后台暗刷时,screensaver会根据云控配置中newold_sw字段的值调用blueberry.exe(newold_sw=0)或TsvmService.exe(newold_sw=1)进行后台暗刷,文中我们仅以blueberry.exe为例。相关调用代码,如下图所示:

Image-11.png
调用后台暗刷恶意推广相关逻辑

当newold_sw=1时,则会下载执行TsvmService.exe进行后台暗刷。TsvmService.exe程序分为三个部分,每部分单独被压缩在一个7z压缩包中,在恶意代码解压相关组件模块后,会对可执行程序进行异或解密。相关代码,如下图所示:

Image-12.png
执行TsvmService.exe相关代码

除此之外,恶意程序还会通过云控配置下载执行其它恶意程序(如:sbbat_scre.exe)。sbbat_scre.exe执行后会静默安装流氓浏览器插件,详细分析见下文。相关代码,如下图所示:

Image-13.png
释放广告程序及下载执行其它恶意模块相关代码

BlueBerry模块

该模块会根据云控配置,创建一个隐藏窗口暗刷指定网站的关键字搜索排名。相关现象,如下图所示:

Image-14.png
隐藏窗口刷取搜索关键字

该模块会向云端(hxxp://plum.70gj.cn/plumzhang?sc=)请求配置文件,且每次请求到的云控配置都不相同。配置中不仅包括了要刷取的搜索关键字,页面操作等信息,还包括规避的城市、杀软和分析环境信息。相关配置,如下图所示:

Image-15.png
刷取搜索的配置文件

相关代码,如下图所示:

Image-16.png
检测杀软、分析环境和地区

sbbat_scre模块

sbbat_scre.exe模块首先会检测系统中是否存在火绒、360、金山毒霸和腾讯电脑管家相关进程,然后从自身资源中解密出浏览器插件并复制到对应浏览器插件目录下。受影响的安全软件及浏览器信息如下图所示:

Image-17.png
受影响的安全软件信息

Image-18.png
受影响的浏览器

检测电脑杀软信息相关代码如下图所示:

Image-19.png
检测电脑杀软信息

当电脑中存在360安全浏览器时,恶意模块会将名为“领券吧”的浏览器插件从资源中解密出来并复制到360安全浏览器的插件目录下并结束相关进程。相关代码如下图所示:

Image-20.png
释放插件到360安全浏览器目录下

当电脑中存在QQ浏览器、搜狗浏览器、2345浏览器、UC浏览器时,恶意模块会将名为“护眼模式”的浏览器插件从资源中解密出来并复制到上述浏览器的插件目录下并结束相关进程。相关代码如下图所示:

Image-21.png
释放插件到其它浏览器目录下

下面以360安全浏览器及QQ浏览器为例,被此恶意模块加载插件后的现象如下图所示:

Image-22.png
相关浏览器被恶意加载插件

以上两个浏览器插件的功能均为推广优惠券获利,除此以外,还在sbbat_scre.exe资源中发现另外一款名为“时钟提醒”的恶意浏览器插件。该插件会劫持搜索推广计费名,并可以通过云端配置文件对其它链接进行劫持。相关现象,如下图所示:

Image-23.png
劫持推广计费名

部分云端配置,如下图所示:

Image-24.png
部分云端配置

相关代码,如下图所示:

Image-25.png
请求并解密劫持配置

Image-26.png
根据劫持配置获得劫持链接

Image-27.png
劫持推广计费号

二、 附录
样本hash

Image-28.png

免费评分

参与人数 292吾爱币 +251 热心值 +258 收起 理由
aNormal + 1 + 1 谢谢@Thanks!
山羊山影 + 1 + 1 谢谢@Thanks!
13917763240 + 1 + 1 热心回复!
stal1ker + 1 + 1 鼓励转贴优秀软件安全工具和文档!
11846607 + 1 + 1 谢谢@Thanks!
君逆何尘故 + 1 + 1 热心回复!
成墨 + 1 我很赞同!
三百六十五甜 + 1 用心讨论,共获提升!
zht7758521 + 1 谢谢@Thanks!
NiGhT_Ray + 1 + 1 我很赞同!
louchen1994 + 1 + 1 我很赞同!
18868195147 + 1 + 1 我很赞同!
Tanyongfeng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
SugerJun + 1 + 1 我很赞同!
crazycannon + 1 + 1 谢谢@Thanks!
zoroman + 1 + 1 热心回复!
GoodMrZhangJie + 1 + 1 用心讨论,共获提升!
hellozhanghe + 1 + 1 热心回复!
一只康娜酱 + 1 + 1 用心讨论,共获提升!
卡卡loveTS + 1 + 1 用心讨论,共获提升!
_ever_ + 1 热心回复!
烧饼馒头包子 + 1 + 1 我很赞同!
clite + 1 + 1 谢谢@Thanks!
太吾太吾 + 1 谢谢@Thanks!
大鹏飞飞 + 1 + 1 我很赞同!
lihaiyangya + 1 我很赞同!
fvtr784 + 1 + 1 谢谢@Thanks!
zuoxiaorong + 1 我很赞同!
yx69 + 1 + 1 我很赞同!
别时容易 + 1 热心回复!
18807582766 + 1 + 1 我很赞同!
忲過惗輕.⑨σ後 + 1 用心讨论,共获提升!
李成鑫 + 1 + 1 已经封号,感谢您对吾爱破解论坛的支持!
ashura_x + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
WamgYamg + 1 + 1 正道的光
cnahbb + 1 + 1 谢谢@Thanks!
volcanocan + 1 + 1 用心讨论,共获提升!
AshLikeSnow + 2 + 1 希望火绒团队能把这些项目列入黑名单并协助用户拦截解除这种烦恼
mj2013ly + 1 谢谢@Thanks!
达云兮 + 1 + 1 谢谢@Thanks!
she3640 + 1 + 1 谢谢@Thanks!
丈夫 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Creator68 + 1 + 1 火绒牛逼!
doocool + 1 + 1 我很赞同!
腾旭 + 1 + 1 用心讨论,共获提升!
Moriarty_Jim + 1 + 1 火绒强的一批
wodeweiyimpm + 1 广告拦截能不能直接禁止他启动
KTN德邦 + 1 + 1 谢谢@Thanks!
慕白丶L + 1 + 1 我很赞同!
smilewow + 1 我很赞同!
大头寀 + 1 + 1 谢谢@Thanks!
yosi2009 + 1 + 1 我很赞同!
Maise + 1 我很赞同!
nihao7758 + 1 + 1 火绒的广告拦截也超好用~~
Byxiaowei + 1 + 1 火绒牛批!!!!
guo798292015 + 1 + 1 我很赞同!
joywaywo + 1 谢谢@Thanks!
豆豆小曼曼 + 1 + 1 谢谢@Thanks!
vmu + 1 + 1 我很赞同!
luzhiyao + 2 火绒牛逼!
zycwapj + 1 + 1 我很赞同!
genry + 1 我很赞同!
azio5566 + 1 谢谢@Thanks!
何振良 + 1 + 1 我很赞同!
saradahentai + 1 我很赞同!
J12138 + 1 + 1 选火绒,就对了!
E166ER + 1 + 1 热心回复!
pandore + 1 + 1 谢谢@Thanks!
Polar!S + 1 + 1 我很赞同!
xb0wxh + 1 + 1 谢谢@Thanks!
luofengdi + 1 + 1 支持我用的火绒!!!!!!!!!!!!!!!!!!!!!!!!!!!
Wuchen_无尘 + 1 + 1 热心回复!
kingzsw + 1 鼓励转贴优秀软件安全工具和文档!
窝来了 + 1 + 1 谢谢@Thanks!
iZM666 + 1 + 1 我很赞同!
Carpenter1990 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hxdgkd + 1 + 1 热心回复!
ypadan + 1 + 1 谢谢@Thanks!
szdaijun + 1 + 1 感谢火绒
YiXinPlay + 1 热心回复!
宿命下的对白 + 1 + 1 我很赞同!
ashenones + 1 + 1 我很赞同!
z532931406 + 1 + 1 支持火绒,良心软件
766339123 + 1 + 1 我很赞同!
Dkkk24 + 1 我很赞同!
Sacrify + 1 + 1 用心讨论,共获提升!
zhishasanlei + 1 + 1 谢谢@Thanks!
WinkeyLin + 1 + 1 我很赞同!
zxc123Qwe789 + 1 + 1 用心讨论,共获提升!
dauna + 1 + 1 我很赞同!
zjf123456 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
muzhejianan + 1 我很赞同!
丨miss丶星星 + 1 + 1 太强了!
少年少有为 + 1 我很赞同!
夏之天狼星 + 1 + 1 谢谢@Thanks!
Sukha + 1 + 1 谢谢@Thanks!
超然台上 + 1 热心回复!
relaxing + 1 谢谢@Thanks!
builder999 + 1 + 1 用心讨论,共获提升!
Niel + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

nnn7788 发表于 2020-7-22 22:02
其实软件做得好用,好好的推广大家也会用起来,收费也很正常,最恨这种偷偷摸摸安装的,就算好用也卸了。另外现在有安装程序的真是要睁大眼,一个不小心没勾选就来一堆的垃圾。烦躁。
风之暇想 发表于 2020-7-22 21:55
canker 发表于 2020-7-22 21:42
姜子牙 发表于 2020-7-25 14:38
xudewu 发表于 2020-7-22 21:54
中国软件特色?国外就没有类似的软件了?

特色之所以说是特色在于一个"特"字,  相较于国外软件, 中国人用国内软件 用的多,所以这类软件出现的频率越高 就显得越中国特色
就拿常用软件来说, 国外软件这种情况多呢还是国内软件这种情况多呢? 显而易见
你爱国归爱国, 国内软件这种情况严重是事实, 不是你一句爱国就能掩盖的
正因为我们比你更爱国才会批评这种软件, 而且正是这种软件太多才使得 上面"中国特色" 的产生
所以你不和我们一起声讨这种软件也就算了, 还来声讨我们? 你是希望我们国家走向末路么?

'
'
xudewu 发表于 2020-7-22 21:54
中国软件特色?国外就没有类似的软件了?
wuai6757620 发表于 2020-7-22 21:45
canker 发表于 2020-7-22 21:42
我想问一下,这是中国特色还是都这样呢

国产软件的一贯作风!
suendahua 发表于 2020-7-22 22:02
现在的软件无底线啊!
leader20jb 发表于 2020-7-22 21:58
不要下载不熟悉的软件,下载前先网上搜搜口碑
anwen 发表于 2020-7-22 21:49
老老实实的用默认的就行哈哈...
晨曦·曦晨 发表于 2020-7-22 21:56
没有办法,提高自身安全意识才是硬道理
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表