吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 30534|回复: 563
收起左侧

[PC样本分析] 激活工具带毒,静默安装360、2345系列软件

     关闭 [复制链接]
火绒安全实验室 发表于 2022-10-10 10:13
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-10-10 15:28 编辑

近期,火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒;【软件安装拦截】功能可拦截被推广的软件。

Image-0.png

被推广的软件

Image-1.png

病毒查杀图




通过百度搜索“激活工具”发现,排名靠前的三条搜索结果都在传播该病毒,这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。

Image-2.png

百度搜索结果


进一步溯源该激活工具的网址hxxp://wd9.hmd888.top,发现该域名属于“桂林市木兮网络科技有限公司”,该公司的网站备案信息,如下图所示:

Image-3.png

该公司网站备案信息


详细分析

病毒启动后会从远程服务器上下载恶意配置信息,并执行对应的恶意行为,如:下载、执行任意文件,后台静默安装软件等。病毒的执行流程,如下图所示:

Image-4.png

病毒的执行流程


Setup_Activator.exe是初始化模块,该模块是个Autoit脚本编译的,并使用混淆手段来躲避杀毒软件查杀。相关代码,如下图所示:

Image-5.png

被混淆的代码


将其去混淆后,发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块,并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码,如下图所示:

Image-6.png

释放激活工具和恶意模块代码为恶意模块




创建任务计划进行持久化,每次开机的时候都会启动。相关代码,如下图所示:

Image-7.png

创建计划任务进行持久化


根据系统版本来执行不同的激活工具。相关代码,如下图所示:

Image-8.png

根据系统版本的不同执行不同的激活工具


在kmsactivation.exe 模块中,首先从hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt 获取恶意配置信息,再根据恶意配置信息来执行特定的恶意行为,如:下载、执行任意文件,后台静默安装软件等。相关恶意配置信息,如下图所示:

Image-9.png

恶意配置信息


根据恶意配置信息下载、执行任意文件。相关代码,如下图所示:

Image-10.png

根据恶意配置信息下载、执行任意文件


该模块还会过滤指定城市,对指定城市以外的地方,额外安装一些软件(腾讯电脑管家),获取用户当前所在城市。相关代码,如下图所示

Image-11.png

过滤用户所在城市



根据恶意配置信息,后台静默推广软件,并对指定城市以外的地方,额外安装一些软件(腾讯电脑管家)。相关代码,如下图所示:

Image-12.png

后台静默推广软件



附录

C&C服务器列表:

Image-13.png


病毒HASH:

Image-14.png

免费评分

参与人数 316吾爱币 +286 热心值 +277 收起 理由
qingye + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lio2232 + 1 + 1 我很赞同!
drums1985 + 1 谢谢@Thanks!
shengjiaohao + 1 我很赞同!
^枫^ + 1 + 1 有没有安全的工具啊?
月下风语 + 1 + 1 我很赞同!
Sevenkill + 1 + 1 我很赞同!
podaoxukong123 + 1 + 1 用心讨论,共获提升!
qipawangye + 1 用心讨论,共获提升!
yh310 + 1 + 1 用心讨论,共获提升!
architectural + 1 我很赞同!
wzc956872632 + 1 + 1 我很赞同!
燕先生 + 1 + 1 谢谢@Thanks!
js6166 + 1 + 1 谢谢@Thanks!
dxs0211 + 1 + 1 我很赞同!
小树丶 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Clownwang + 1 我很赞同!
takeink + 1 + 1 用心讨论,共获提升!
mq147741 + 1 + 1 热心回复!
tianbosong + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lwg2238 + 1 我很赞同!
空白的记忆 + 1 + 1 我很赞同!
Touch404 + 1 我很赞同!
hellozhanghe + 1 + 1 热心回复!
Travelerss + 1 鼓励转贴优秀软件安全工具和文档!
btgaber + 1 + 1 谢谢@Thanks!
qjw520 + 1 我很赞同!
hjh5201314 + 1 + 1 热心回复!
defend1314 + 1 谢谢@Thanks!
幽静的风 + 1 + 1 谢谢@Thanks!
mgc + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wwbzmt + 1 + 1 谢谢@Thanks!
rabbish404 + 1 谢谢@Thanks!
xxuhuan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
九天临兵帝 + 1 + 1 火绒牛逼啊
dogbutcat + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
mytf + 1 谢谢@Thanks!
iamaf0 + 1 + 1 我很赞同!
晴森_ + 1 + 1 鼓励转贴优秀软件安全工具和文档!
一弯凉月 + 1 + 1 我很赞同!
lmh2288 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
id1123 + 1 + 1 用心讨论,共获提升!
心渊魔角 + 1 我很赞同!
black911 + 1 我很赞同!
爱你小吉君 + 1 热心回复!
Takakura_Anri + 1 + 1 用心讨论,共获提升!
fififi + 1 + 1 谢谢@Thanks!
vipro + 1 我很赞同!
cws21310 + 1 + 1 用心讨论,共获提升!
liuyanjing + 1 + 1 正道的光!
马小黑黑 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
AllMight96 + 1 谢谢@Thanks!
CYANCHAOS + 1 + 1 我很赞同!
BOSS_ZJ0916 + 1 谢谢@Thanks!
coloradice + 1 + 1 KMS激活有风险吗
nakasou + 1 + 1 谢谢@Thanks!
caby4444 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
b86325438 + 1 + 1 我很赞同!
汤姆和托尼 + 1 我很赞同!
欺负老实人么 + 1 + 1 我很赞同!
hamxbb + 1 + 1 我很赞同!
demigod.dww + 1 + 1 热心回复!
流云 + 1 + 1 热心回复!
cscxqe + 1 + 1 谢谢@Thanks!
lipengc + 1 + 1 谢谢@Thanks!
exe19890522 + 1 我很赞同!我用的就是火绒啊
wlpkcheng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
close2you + 1 谢谢@Thanks!
xhao43 + 1 + 1 我很赞同!
rnwxa + 1 + 1 我很赞同!
smallli + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lene + 2 + 1 热心回复!
chenballack + 1 + 1 用心讨论,共获提升!
Bay + 1 + 1 谢谢@Thanks!
chy505908440 + 1 谢谢@Thanks!
lcdhsy + 1 + 1 鼓励转贴优秀软件安全工具和文档!
520ping + 1 + 1 我很赞同!
hu55142jin + 1 + 1 谢谢@Thanks!
西月 + 1 + 1 谢谢@Thanks!
yimi0104 + 1 + 1 谢谢@Thanks!
qwe7210458 + 1 + 1 我很赞同!
ind + 1 + 1 谢谢,怎么安全激活?
tserofskle + 1 + 1 我很赞同!
LeoCxx + 1 + 1 谢谢@Thanks!
zhw2021 + 1 + 1 谢谢@Thanks!
youseitei + 1 我很赞同!
jang2001 + 1 + 1 谢谢@Thanks!
uareno1 + 1 + 1 谢谢@Thanks!
你比我先挂 + 1 + 1 我桂林市上大分
c13950143096 + 1 + 1 作者有心了
lawkwanlam + 1 我很赞同!
艾辣舞油 + 1 + 1 谢谢@Thanks!
Mr.Song + 1 + 1 热心回复!
山盟虽在 + 1 + 1 我很赞同!
小白打酱油 + 1 + 1 我很赞同!
leo01 + 1 + 1 我很赞同!
dreampoet + 1 + 1 我很赞同!
freeqd + 2 我很赞同!
j1an555 + 1 + 1 我很赞同!
挚爱红蓝 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

溜玩音乐 发表于 2022-10-10 10:20
我就想知道,这种垃圾网络公司,捆绑病毒的行为,是否违返危害计算机信息系统的相关法律,国家处罚例如如何。
a774733519 发表于 2022-10-10 11:20
TEL安排一波19997932241
有能力的老铁安排下小卡片贴WC,小姐姐上门服务
这种行为不能惯着

天眼查【还有个公司为相同的法定代表人】
桂林万事胜意文化传媒有限责任公司
成立于2022年01月17日,
注册地位于临桂区临桂镇西城北路2号耀辉美好家园27幢1单元7层01号,
法定代表人为王鑫瑞。

经营范围包括一般项目:文化娱乐经纪人服务;广告设计、代{过}{滤}理;广告发布;广告制作;文具用品零售;城乡市容管理;组织文化艺术交流活动;平面设计;鞋帽零售;软件开发;第一类医疗器械销售;技术服务、技术开发、技术咨询、技术交流、技术转让、技术推广;国内贸易代{过}{滤}理;第二类医疗器械销售;商标代{过}{滤}理;税务服务;健康咨询服务(不含诊疗服务);互联网销售(除销售需要许可的商品);知识产权服务(专利代{过}{滤}理服务除外);企业形象策划;市场营销策划;企业管理咨询;教育咨询服务(不含涉许可审批的教育培训活动);信息咨询服务(不含许可类信息咨询服务);人力资源服务(不含职业中介活动、劳务派遣服务);法律咨询(不包括律师事务所业务);版权代{过}{滤}理。(除依法须经批准的项目外,凭营业执照依法自主开展经营活动)

免费评分

参与人数 4吾爱币 +4 热心值 +4 收起 理由
Diana1 + 1 + 1 我很赞同!
virtualspider + 1 + 1 我很赞同!
kingxsp + 1 + 1 热心回复!
lichuyi + 1 + 1 我很赞同!

查看全部评分

k452b 发表于 2022-10-10 14:40
a774733519 发表于 2022-10-10 11:20
TEL安排一波19997932241
有能力的老铁安排下小卡片贴WC,小姐姐上门服务
这种行为不能惯着

19997932241
18154782641
18178388143
19377314009
19377314006
07735581981
都是他的电话

免费评分

参与人数 3吾爱币 +3 热心值 +2 收起 理由
mini123 + 1 + 1 193关机乐 其他没有关闭
cl4993106 + 1 + 1 谢谢@Thanks!
mogaga + 1 还有同志交友也可以给他发一下

查看全部评分

血花 发表于 2022-10-10 10:24
周鸿祎也就能干点这种事了

点评

周鸿祎vs麻花藤  详情 回复 发表于 2022-10-10 14:54
danbai 发表于 2022-10-10 16:08
一直用沧水的kms激活
http://kms.cangshui.net/

免费评分

参与人数 6吾爱币 +5 热心值 +6 收起 理由
yolre + 1 谢谢@Thanks!
surui1314 + 1 + 1 谢谢@Thanks!
^枫^ + 1 + 1 谢谢@Thanks!
自强 + 1 + 1 谢谢@Thanks!
zjhkl8 + 1 + 1 谢谢@Thanks!
losen1989 + 1 + 1 谢谢@Thanks!

查看全部评分

wtflxk 发表于 2022-10-10 10:18
激活软件带毒多少年这是公开的私密啊,你们现在才拦截
andersgong 发表于 2022-10-11 16:50
换句话说的话,这些被推广的软件和企业,是否也可以认定为盗版产业链的受益者,是否也应该被小马激活的正版厂商起诉呢?
甜萝 发表于 2022-10-10 10:38
本帖最后由 paypojie 于 2022-10-10 10:39 编辑

这种激活工具信不过 kms yyds
chidany 发表于 2022-10-10 10:47
所以说激活工具还是要老牌的,现在国产的很多都是带捆绑的,以前那些系统镜像都是如此。
zhaotengkong 发表于 2022-10-10 10:20
还是用正版系统的好
weiya909 发表于 2022-10-10 10:17
上述收到,及时更新病毒库
dioderen 发表于 2022-10-10 10:18
嗯,不敢用了
yuleniwo 发表于 2022-10-10 10:24
有这个竞价排名广告标识也好,绕过不下
sgcyqcyq 发表于 2022-10-10 10:26
感谢大大的发现,又一次告诉小白 免费的东西有毒
cv130 发表于 2022-10-10 10:27
如果安装这些360 2345不给银子 他们就不带这些病毒
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 11:20

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表