吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10749|回复: 80
上一主题 下一主题
收起左侧

[PC样本分析] 流氓软件传播病毒感染量数万 下载站仍是主要推广渠道

   关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2022-4-18 16:17 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-4-18 18:31 编辑



近期,火绒安全实验室根据用户反馈,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,目前感染量达数万台。该病毒被植入终端后,会通过下载执行恶意驱动模块的方式,向用户实施捆绑安装、广告弹窗等恶意行为,严重威胁用户的信息安全。值得注意的是,该病毒仍在持续更新中,不排除后续下发新的恶意模块,添加新的恶意功能。目前,火绒安全软件已对该病毒进行拦截查杀。

                              

火绒查杀图


21压缩下载界面



火绒安全实验室分析溯源发现,该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后,病毒会通过C&C服务器接收并执行病毒作者下发的各类指令,包括下载恶意模块,搜集用户访问的web站点信息,甚至具备恶意代{过}{滤}理功能,可控制用户电脑作为流量跳板,使用户电脑成为黑客的代{过}{滤}理服务器。同时,会在后台静默安装大量软件,造成电脑卡顿,还会定期弹出广告窗口。病毒恶意行为执行流程图,如下图所示:





今年315晚会,央视曝光了下载站的诸多乱象,如强制弹出、捆绑安装、诱骗下载等。火绒安全实验室近年来也在持续对下载站乱象进行关注,并曾多次曝光过病毒借助下载站传播的事件,由此可见下载站也已经成为病毒的主要传播渠道。



对此,火绒安全再次提醒广大用户,下载软件请通过官方网站;如必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒官方论坛求助,确保文件、程序安全后再运行,以免遭遇风险。

一、详细分析
“拉法日历”主程序
“拉法日历”主程序名为LFCalendar.exe,但其本身不具有日历相关软件功能,主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件,之后为恶意驱动创建启动项。相关代码,如下图所示:


获取驱动文件创建恶意驱动启动项,相关代码,如下图所示:


创建恶意驱动启动项


恶意驱动主模块

udwnapi.sys为恶意驱动主模块,根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类,针对不同的受害者下发不同的恶意配置信息。从C&C服务器获取恶意配置信息,相关代码,如下图所示:


从C&C服务器获取恶意配置信息

接收到的恶意配置信息,如下图所示:


接收到的恶意配置信息

根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块。相关代码,如下图所示:


根据C&C服务器下发的配置信息下载执行其他恶意驱动模块

内存映射执行恶意驱动模块。相关代码,如下图所示:


内存映射恶意驱动模块




恶意驱动过滤模块

该病毒会通过网络过滤驱动收集受害者访问的网址信息,当驱动检测到用户访问特定的站点时,即会弹出广告网页,被检测的网址包括:www.baidu.com 等。该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中,导致中毒用户的信息安全可能会受到不同程度侵害。



由C&C服务器判断是否弹出广告(pop.sys)

记录受害者访问的web网址,相关代码,如下图所示:


记录受害者访问的web网址

将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中。相关代码,如下图所示:


向C&C服务器发访问网址数据

本地判断是否弹出广告(homepop.sys)

C&C服务器下发的本地网址过滤规则,如下图所示:


C&C服务器下发的的本地网址
过滤规则当网络过滤驱动检测到访问特定的网址时,将相关信息插入等待列表中,相关代码,如下图所示:


检测受害者访问特定的网址



弹出广告网页(ExpFc64.dll)

推广模块会获取等待列表,并弹出广告。相关代码,如下图所示:

  

弹出广告网页代码

火绒剑检测到的行为信息,如下图所示:


火绒剑检测到的行为信息

恶意驱动代{过}{滤}理模块

proxy.sys驱动代{过}{滤}理模块,会使受害者终端成为黑客的代{过}{滤}理服务器资源,来转发C&C服务器下发的的网络请求。恶意代{过}{滤}理功能执行流程,如下图所示:


恶意代{过}{滤}理功能执行流程



转发逻辑代码,如下图所示:

  

转发逻辑代码

恶意推广模块

ExpFc.dll作为恶意推广模块,具有多种恶意推广手段,如:后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为,以提高相关病毒模块的隐蔽性。

注入Explorer

恶意驱动dll.sys通过HOOK  TranslateMessage函数来执行Shellcode,相关代码,如下图所示:


HOOK TranslateMessage函数

Shellcode会将恶意推广模块内存映射进Explorer进程内存中,相关代码,如下图所示:


Shellcode代码

恶意推广行为

弹出广告网页相关代码,如下图所示:

  

弹出广告网页

后台静默安装推广软件,相关代码,如下图所示:


后台静默安装推广软件

火绒拦截到的软件安装行为,如下图所示:


火绒拦截到的软件安装行为

弹出广告窗口,相关代码,如下图所示:


弹出广告窗口代码

二、溯源分析

火绒工程师通过对“拉法日历“进行溯源分析,发现该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,该安装包的数字签名是上海九罗网络科技有限公司,相关信息,如下图所示:


拉法日历数字签名

对上海九罗网络科技有限公司进行溯源,产权信息,如下图所示:


上海九罗网络科技有限公司产权信息

在分析过程中,火绒工程师发现21压缩软件会推广此病毒程序,21压缩数字签名如下图所示:


21压缩数字签名

对重庆智领云英教育科技有限公司进行溯源,确认21压缩为该公司所开发软件,产权信息,如下图所示:


重庆智领云英教育科技有限公司产权信息

对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播,虽然推广21压缩的高速下载器已经全部下架,但第三方下载站还存在大量21压缩相关软件。百度搜索“21压缩”,可以看到不同下载站关于21压缩的软件下载链接。相关信息,如下图所示:


百度搜索结果

三、 附录  

C&C服务器

:

SHA256:

免费评分

参与人数 57吾爱币 +54 热心值 +52 收起 理由
SilverDragon + 1 鼓励转贴优秀软件安全工具和文档!
acesec + 1 我很赞同!
会谦逊的陆逊 + 1 + 1 我很赞同!
xiaohanjss + 1 + 1 谢谢@Thanks!
人称三哥 + 1 + 1 谢谢@Thanks!
Zzzzzzzzzzzzzzz + 1 + 1 我很赞同!
九天临兵帝 + 1 + 1 谢谢@Thanks!
wuhua2009 + 1 + 1 谢谢@Thanks!
SansuidouEr + 1 + 1 谢谢@Thanks!
Cool_Breeze + 1 + 1 谢谢@Thanks!
DJAvern + 1 + 1 我很赞同!
Cmzlwc + 1 + 1 谢谢@Thanks!
179836774 + 1 + 1 热心回复!
Ctrl十C + 1 谢谢@Thanks!
chenmintian + 1 + 1 谢谢@Thanks!
FANT456 + 1 + 1 热心回复!
黄骅港东东洋 + 1 我很赞同!
anit958 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
pxSkippy + 1 + 1 我很赞同!
aigohk + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hjkd + 1 鼓励转贴优秀软件安全工具和文档!
一战方休 + 1 + 1 我很赞同!
ufldh + 1 + 1 我很赞同!
zhoujinjian + 1 + 1 谢谢@Thanks!
ppxj0 + 2 + 1 用心讨论,共获提升!
松晓 + 1 + 1 谢谢@Thanks!
mp502195855 + 1 + 1 我很赞同!
杨辣子 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
从来不想 + 1 + 1 热心回复!
sansanla + 1 + 1 要是技术分析的再简单点就好了
kb0615 + 1 + 1 我很赞同!
zine0318 + 1 + 1 谢谢@Thanks!
pengpeng + 1 + 1 谢谢@Thanks!
soenluzy + 1 + 1 谢谢@Thanks!
liyan0922 + 1 我很赞同!
抱薪风雪雾 + 1 + 1 谢谢@Thanks!
timeni + 1 + 1 用心讨论,共获提升!
darklure + 1 + 1 谢谢@Thanks!
Johnny.Y + 1 + 1 谢谢@Thanks!
blackgrape + 1 + 1 我很赞同!
羡羡丶 + 1 + 1 谢谢@Thanks!
blwwst + 1 + 1 谢谢@Thanks!
cjhzmsy + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
勤勤学长 + 1 + 1 我很赞同!
happykeke + 1 我很赞同!
zzcjack08 + 1 + 1 谢谢@Thanks!
zhangtianshi + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sd952202 + 1 + 1 我很赞同!
A13728076667 + 1 + 1 谢谢@Thanks!
Autom + 1 + 1 谢谢@Thanks!
gameyw + 1 + 1 谢谢@Thanks!
czz404 + 1 + 1 谢谢@Thanks!
xiyi0519 + 1 + 1 谢谢@Thanks!
wjooxx + 1 + 1 谢谢@Thanks!
walt666 + 1 鼓励转贴优秀软件安全工具和文档!
TeMoon + 1 + 1 谢谢@Thanks!
INT0 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
推荐
mokson 发表于 2022-4-18 16:41
提示: 作者被禁止或删除 内容自动屏蔽
推荐
ahov 发表于 2022-4-19 20:45
通过威胁情报可以查询到这个家族的Rootkit内核后门病毒几年前是以小白日历、资讯日历、悦日历、兰博万年历的名字在传播
那个21压缩,官网是21yasuo.com,后台被我给找到了是fbms.21yasuo.com,然后访问fbms.21yasuo.com/dev-api还能看见一行字:
“欢迎使用RuoYi后台管理框架,当前版本:v3.6.0,请通过前端地址访问。”
有没有大佬要试试手的
3#
icjhao 发表于 2022-4-18 16:21
太可怕了,这个是点击就会传播吗?还是植入软件里的
4#
INT0 发表于 2022-4-18 16:22
厉害了阿绒
5#
wang777www 发表于 2022-4-18 16:26
我与这些流氓软件不共戴天
6#
双眼皮的微笑 发表于 2022-4-18 16:31
大佬就是大佬 分析的头头是道。
7#
kissboss 发表于 2022-4-18 16:32
下软件还是要到正规官网才比较安全
8#
wanfon 发表于 2022-4-18 17:01
不敢乱下载了
9#
XziXmn 发表于 2022-4-18 17:03
受害的最后还是那些普通用户
10#
Autom 发表于 2022-4-18 17:17
我与流氓软件不共戴天!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表