火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 【分析报告】“小马激活”病毒新变种分析报告

  [复制链接]
47667 51
楼主
发表于 2016-4-14 11:20:00 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
             “小马激活”病毒新变种分析报告
火绒博锐(北京)科技有限公司

分析报告下载地址:http://pan.baidu.com/s/1bpLTonH



  一、概述
       随着安全软件与病毒之间攻防对抗的不断白热化,病毒的更新换代也日益频繁,其所使用的手段也日趋多样化。以最近大范围流行的“小马激活”病毒为例,其传播至今,据火绒发现的样本中已经演变出了五个变种。“小马激活”病毒,我们之前称其为“苏拉克”病毒详见《安全警报:恶性病毒“苏拉克”正在蔓延》,https://bbs.huorong.cn/thread-12375-1-1.html,因为其核心驱动名为“surak.sys”故得此名,但是随着其不断地改变与安全软件的对抗方式,“苏拉克”这个名字已经不被病毒作者使用,所以我们将其统称为“小马激活”病毒。

       “小马激活”病毒的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项,以达到首页劫持的目的。由于安全软件的查杀和首页保护功能,该版本并没有长时间流行太长时间。其第二变种,在原有基础上增强了与安全软件的对抗能力。由于其作为“系统激活工具”具有入场时间较早的优势,使用驱动与安全软件进行主动对抗,使安全软件无法正常运行。在其第三个变种中,其加入了文件保护和注册表保护,不但增加了病毒受害者自救的难度,还使得反病毒工程师在处理用户现场时无法在短时间之内发现病毒文件和病毒相关的注册表项。其第四个变种中,利用WMI中的永久事件消费者(ActiveScriptEventConsumer)注册恶意脚本,利用定时器触发事件每隔一段时间就会执行一段VBS脚本,该脚本执行之后会在浏览器快捷方式后面添加网址参数。该变种在感染计算机后,不会在计算机中产生任何文件,使得病毒分析人员很难发现病毒行为的来源,大大增加了病毒的查杀难度。通过如下表格我们可以更直观的了解其发展过程:



表1、“小马激活”病毒发展过程

       通过我们近期接到的用户反馈,我们发现了“小马激活”病毒的新变种。该变种所运用的对抗技术十分复杂,进一步增加了安全软件对其有效处理的难度,甚至使得病毒分析人员通过远程协助处理用户现场变得更困难。这个“小马激活”病毒的最新变种运行界面如下:
图1、 “小马激活”新变种运行界面


二、样本分析
       该病毒释放的驱动文件通过VMProtect加壳,并通过过滤驱动的方式拦截文件系统操作(图2),其目的是保护其释放的动态库文件无法被删除。通过文件系统过滤驱动,使得系统中的其他进程在打开该驱动文件句柄时获得却是tcpip.sys文件的句柄,如果强行删除该驱动文件则会变为删除tcpip.sys文件,造成系统无法正常连接网络。我们通过下图可以看到火绒剑在查看文件信息时,读取的其实是tcpip.sys文件的文件信息。由于此功能,使得病毒分析人员无法在系统中正常获取该驱动的样本。
图2、文件驱动钩子和关机通知

       该驱动通过注册关机回调(图2)在系统关机时该驱动会将自身在%SystemRoot%\System32\Drivers目录重新拷贝成随机名字的新驱动文件,并将驱动信息写入注册表,以便于下一次时启动加载。在驱动加载之后,其会将locc.dll注入到explorer.exe进程中。该驱动对locc.dll文件也进行了保护,当试图修改或者删除该动态库时,会弹出错误提示“文件过大”。如图3所示:
图3、文件驱动钩子和关机通知

      当病毒的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑。通过火绒剑的内存转储,我们可以看到该病毒锁定的所有网址。

       通过抓取上述网址中的网页信息(图4),我们可以发现上述网址中存放的其实是一个跳转页。通过使用跳转页面,病毒作者可以灵活调整计费链接和推广网址,并且对来自不同浏览器的流量进行分类统计。
图4、网页内容


三、信息追踪
        通过测试我们现有的最新该病毒样本,我们发现该病毒不但推广了国内的一些导航站和电商门户网站(图5),还推广了仿冒的小马激活网站(www.xiaomajihuo.net)用来进一步传播病毒。其推广网址如下:
淘宝特卖:temai.taobao.com
Hao123网址导航:cn.hao123.com
京东商城:www.jd.com
淘宝聚划算:ju.taobao.com
2345影视大全:v.2345.com
爱淘宝:ai.taobao.com
爱美眉:www.aimm.cc
仿冒的小马激活网站:www.xiaomajihuo.net
图5、病毒推广效果图

       仿冒的小马激活网站访问效果如下:

图6、网址访问效果图

       病毒下载地址为百度云盘下载链接,如下图所示:
图7、百度云盘链接访问效果图

         

通过反查仿冒的“小马激活”官网(xiaomajihuo.net)域名,我们找到了其域名注册时使用的邮箱[url=mailto:—vo******o@enamewhois.com]—vo******o@enamewhois.com[/url]。通过该邮箱,我们找到了所有使用该邮箱注册的域名信息。如下图所示:

图8、使用vo******o@enamewhois.com邮箱注册的域名关系图

      通过访问上述关系图中的域名,我们发现:






  • 该“病毒推广公司”利用“小马激活”病毒进行推广,利用多个仿冒小马激活官网在互联网中进行传播。
  • 6位数字加“.com”结尾的域名(下文称数字域名)中用来架设其首页劫持要用到的跳转页面。
       由于我们通过“xiaomajihuo.net”域名可以获取的信息比较有限,我们对关系网中(上图所示)的“xiaomajihuo.cn”域名进行了反查。我们发现有超过50个域名指向这一IP地址,如下图所示:
图9、同一IP下的域名列表

        观察这些域名,很容易发现有多个域名带有“xiaomajihuo”的字样。在这些域名中,还有很多XM开头的域名,我们猜测其本意应为“小马”的拼音缩写。在对其关联网址进行访问时我们发现:
        带有“xiaomajihuo”字样的网址全部都是仿冒的“小马激活”官网,其网页样式与前文提到的“www.xiaomajihuo.net”样式相同。
        XM开头的所有网址都为该病毒的下载页面,其网页样式模仿了当前的主流下载站,具有很强的迷惑性(图10)。
图10、网页访问效果图

       在网址www.ydjph.com和[url=https://bbs.huorong.cn/www.yrdqm.com]www.yrdqm.com[/url]中,我们发现虽然页面样式相同,下载文件名为“win7 activation v1.8”,根据我们的分析,该样本也同为该病毒,其下载地址也为百度云盘链接,链接地址为“pan.baidu.com/s/1o79KKII”。
在域名列表中的其他域名,虽然看上去名字随机性很强,但是我们通过访问其页面后发现如下网址为该“病毒生产厂商”的业务推广站:
       就在正在完成这份文档的同时,最后两个域名内容已经变为了类似图10的病毒下载页面。
       根据工商局企业查询系统和搜索引擎的查询结果,上述网址中出现的公司经营范围均为传统行业,且均有正规官网。所以上述网址中出现的公司名为盗用(图11),用来扰乱人们视线。其公司服务项目中涵盖了广告推广、网页制作、软件开发和技术支持(图12),这与“小马激活”病毒的首页劫持推广功能相吻合,即该病毒就是该“病毒推广公司”的广告推广工具之一。如下图所示:
图11、其盗用的公司名
图12、“病毒推广公司”的业务推广站

       在同一IP下还有两个软件推广网址,分别推广QQ浏览器(图13)和2345浏览器(图14),其推广域名如下。
       软件推广网址如下图所示:
图13、该IP下的QQ浏览器推广网址
图14、该IP下的QQ浏览器推广网址

       我们进一步查询了“xiaomajihuo.com.cn”域名信息的相互联系(图15),我们不难发现与该域名相关的大部分仿冒的小马激活网站都是使用[url=mailto:“as*****0@qq.com]“as*****0@qq.com[/url]”这个QQ邮箱进行注册。通过对其QQ邮箱的查询,我们定位到了该病毒作者的QQ号码为133*****7,名叫“叶*”。



图15、xiaomajihuo.com.cn域名信息联系图

        样本在执行过程中还访问了网址“tongji.227237.com”,通过访问该网址我们了解到在该域名所在服务器中架设着一套“推广流量监控系统”(图16),所有其推广的流量都会先经过该站,以用于其查看推广效果。
图16、该病毒的流量统计系统

      根据这些线索,我们理清了该“恶意推广”业务的主要流程。其首先制作系统激活工具作为其“恶意推广工具”,之后再通过百度推广等推广方式进行大范围扩散,在用户运行这些程序之后,将用户首页劫持为数字域名,在该域名下的网页中加入跳转网址和付费链接,最终以推广互联网公司的产品或主页进行谋利。

       为了躲避安全软件的网址拦截,其申请的数字域名变动非常频繁,大部分数字域名已经无法访问,现在依然可以存活的跳转站除了上文中提到的“227237.com”还有“827837.com”和“107117.com”,他们分别是“爱淘宝”和“搜狗网址导航”的推广链接,如下图所示:
图17、827837.com下跳转页内容

图18、827837.com推广“爱淘宝”效果图


图19、107117.com下跳转页内容


图20、107117.com推广“搜狗网址导航”效果图

        通过上述信息,我们可以清楚看到,绝大部分推广的网址都来自于国内的大型互联网企业,阿里巴巴、京东商城这种超大型网络公司甚至也在其中之列。由于当今国内互联网企业之间的竞争日益激烈,国内的大型互联网公司为了推广自己的产品更是可以“豪掷千金”,这一现象极大地刺激了“广告推广公司”的迅速壮大,其推广手段也不断翻新,更有甚者制作病毒进行广告推广,使得国内的互联网大环境中广告类病毒(Adware)的种类与传播范围在短时间之内迅速增加。普通用户在使用计算机时只要 “稍有疏忽”就会被捆绑上许多自己本不需要的应用,或者是首页被随意修改、浏览网页时被加上广告。广大用户深受其害,但是某些软件厂商不但没有加大推广商的审查力度,反而为了提高推广“成功率”提高了其软件的 “卸载难度”,使用户更加苦不堪言。我们从而可以得出结论,广告推广商与“病毒生产厂商”之间存在很大的交集, 这些“病毒推广公司”的推广业务主要服务于国内的主流互联网企业并不断地从中谋取暴利。利用这种盈利模式,“病毒推广公司”可以不断推动其黑色链条的运转,对互联网行业的健康发展造成十分恶劣的影响。

最后,我们在工信部的《ICP/IP地址/域名信息备案管理系统》上找到了与“vo******o@enamewhois.com”邮箱相关网站的ICP备案信息,我们以域名备案时间为主轴,梳理出了其“病毒推广公司”的主要成员信息及关键运营过程。
2015年7月13日,葛**首先备案了网站域名“301311.com”和上文中提到的“爱淘宝”推广网址“827837.com” (图21)。“301311.com”域名的“go”目录下存放着众多被推广的网址跳转页。这与该类型第一个变种出现的时间基本吻合。
图21、葛**备案的网站信息

             2015年9月21日,殷**备案了网站域名“ujisu.com”和“231238.com”(图22)。前者为“U盘极速启动”官网,该工具可用于制作U盘启动盘。火绒希望广大用户在使用操作系统或者软件时可以支持正版,谨慎对待此类工具。与后者同时备案的同一类型域名还有很多,但都已无法访问
图22、殷**备案的网站信息

            2015年12月9日,杨**使用“上海******有限公司”的公司名备案了域名“xiaomajihuo.com”和“227237.com”(图23)。前者为仿冒的小马激活官网,该网址现在已无法访问,后者域名架设着其 “推广流量监控系统”,所以初步推断其可能为该“病毒推广公司”的主要成员。
图23、杨**备案的网站信息
           由于2016年初,国内很多安全厂商对“小马激活”进行了全面查杀,其域名也被很多安全软件拦截。所以在2016年1月13日至20日,张**、叶*、陈*等人备案了如下五个域名用于架设仿冒的小马激活官网(图24)。其域名开放时间有很强的随机性,所以当安全厂商认为其域名已经废弃,并将拦截记录“优化”掉的时候,其域名很有可能会再次“复活”。
xiaomajihuo.cn
xiaomajihuo.net
xiaomajihuo.com.cn
xiaomajihuo.org
xiaomajihuo.org.cn
图24、2016年1月13日至20日注册的假小马激活域名

              2016年3月20日,杨**在有关部门备案了域名“wanmeijihuo.com”(图25)。至今为止,该域名并未启用,但根据备案时间我们初步推断,该域名很有可能为其下一“恶意推广产品”的主要传播渠道。针对该情况,火绒已经针对其域名进行了提前拦截。
图25、“wangmeijihuo.com”域名备案信息

       为彻底查明事实真相,我们浏览了小马激活所谓的官方网站(www.pccppc.com),当进入其官网时页面最上方弹出了其“严正声明”,在其小马激活的下载专区我们发现其停止更新的公告。页面中还给出了其官方QQ群号,提示信息中写着“小马工具箱V1.01版已经发布”字样。如下图:
图26、“小马激活官网”访问效果图

       我们尝试加入该群,我们发现其群共享文件中并没有其所谓的“小马工具箱”,而是有两个最近一个月左右上传的“小马激活工具”,其文件上传者就是其QQ群的创建者(图27-28),也就是其所谓“小马官方人士”上传。
图27、小马激活官方QQ群文件共享展示图

图28、群成员展示图

       在下载时,我们发现文件刚刚落地就被火绒的下载扫描报毒(图29)。经过我们进一步分析,其样本正是我们在概述中所提到的“小马激活”病毒的第四类变种。这些证据指明,原“小马激活工具”的制作团队可能与该病毒运作团队之间存在着直接关系。
图29、火绒下载扫描效果图

      我们通过上述所有跟踪分析,推断了该“病毒推广公司”的运作体系和业务结构。如下图所示:
图30、“病毒推广公司”的运作体系和业务结构图

      该“病毒推广公司”涉及到“白、灰、黑”三个领域的业务。


  • “白”:软件推广业务,主要通过吸引用户流量到其推广页面的方式帮助大型互联网企业进行广告推广,已知推广对象包括QQ浏览器和2345浏览器等;
  • “灰” :互联网行业内的灰色地带,包括“U盘极速启动”和“小马激活工具”。由于国内互联网大环境对于版权的审查力度并不是十分严格,使得该类产品在市场中盛行,用户对该类产品也产生了依赖性;
  • “黑” :与病毒相关的“黑色产业”,该公司制作“小马激活”病毒进行流量劫持,利用用户对盗版系统激活这一刚需,借助搜索引擎优化及早期“口碑营销”,在互联网中大范围传播;


四、综述
        随着国内互联网企业之间的竞争进入白热化,产品推广作为最接近市场的最后环节成为各大软件厂商用来竞争的众矢之的。国内的各个互联网公司不惜一切代价地向市场推广自己的软件产品,由于受到利益驱使软件推广商在推广力度上不断加大,最终跨过网络安全的红线,制作病毒推广工具进行广告推广。作为收益方,被推广的互联网企业也并没有在发现这一现象后及时制止,而是继续为这些“病毒推广厂商”所提供的服务买单,促使了整个黑色产业链条的形成。

       对于“小马激活”病毒,在国内安全厂商开始对其进行全面查杀时,其贼喊抓贼、监守自盗,使很多用户甚至安全厂商都蒙在鼓里。其利用用户的长期信任与用户对于系统激活工具的麻痹大意,使得该病毒在短时间之内大范围传播。其使用十分恶劣的手段进行广告推广,严重影响了用户对计算机的正常使用,甚至对互联网行业的发展造成了不良影响。放眼中国互联网市场,“小马激活”病毒也只是 “病毒推广”黑色产业链中的一个缩影,类似于“小马激活”病毒制作团体的“病毒推广厂商”还有很多。究其本质,监管力度不足和被推广的互联网企业对于推广手段的放任、不作为才是造成“病毒推广厂商”肆意妄为的主要原因。

       随着中国互联网热潮的到来,近年来崛起的互联网公司如同雨后春笋一般快速增多,人们的内心越来越浮躁,人们渐渐变得只看重结果不在乎过程,最终舍本逐末,变成了追逐利润的淘金工具。作为互联网企业,其本职工作应该是对于其产品及服务的精益求精,更多的是要为用户着想,因为我们的身上肩负着用户对我们的信任。



分析报告下载地址:http://pan.baidu.com/s/1bpLTonH

评分

参与人数 3金钱 +11 收起 理由
苏辞辞去 + 5 内容超赞!!!
xrayst + 5 内容超赞!!!
Bing + 1 不错,支持了!!

查看全部评分

回复

使用道具 举报

47667 51
沙发
发表于 2016-4-18 15:22:41 | 只看该作者
报告公&安*部 没有,让井查除马,一切病毒都是纸老虎...
回复

使用道具 举报

47667 51
板凳
发表于 2016-4-18 15:34:55 | 只看该作者
这些证据指明,原“小马激活工具”的制作团队可能与该病毒运作团队之间存在着直接关系。
回复

使用道具 举报

47667 51
地板
发表于 2016-4-18 17:57:59 | 只看该作者
本帖最后由 叶箫大人 于 2016-4-18 18:01 编辑

我和楼主一样也做过调查,locc.dll只是是一部分,在system32/drivers 里面还有5个左右的驱动,会唤醒。
我的方式为:
1、清理注册表全部关于227237的全部记录
2、使用everything 清理227237的全部icon残留
3、在C盘Local里面删除,同一批时间建立的浏览器文件夹,该病毒软件“小马激活工具”会扫描浏览器,然后建立自己的收藏夹,并替换浏览器之前锁定的主页,我使用的360极速、火狐、chrome全部被更换,在浏览器主页设置里面,更正回来原先的主页,重启之后,还是会打开那个搜狗的主页,这是因为在利用本地文档标签的原因,直接嵌入到浏览器本地的文件夹里面。
4、使用360安全卫士全部清理C盘,扫出5个文件,重启电脑,然并卵,没什么用处
5、最后我使用金山毒霸,删除之前没有扫出的驱动文件带sys后缀的,然后GG思密达,电脑蓝屏。
6、该作者邮箱,我使用邮箱反whios查询,看到他注册了很多数字网站,我也找到QQ,真想去骂他一顿,随后还是忍住了。7、通过加壳文件签名,我也找到了该文件有一个公司名字,之前看起来很正大光明的样子。
这过程折腾了3天时间,我又在写论文,实在没办法,只能宣告失败,最后只能重装电脑得以解决,重新使用其他稳定的win激活工具。
群友推荐我找 火眼,扫描了该文件,发现一大堆恶意修改电脑设置的行为,我账号里还有保留,愿意提供自己的测试的一些记录。

该主页 指向  搜狗主页,话说,搜狗你这锅不背吗?



回复

使用道具 举报

47667 51
5#
发表于 2016-4-18 18:27:43 | 只看该作者
叶箫大人 发表于 2016-4-18 17:57
我和楼主一样也做过调查,locc.dll只是是一部分,在system32/drivers 里面还有5个左右的驱动,会唤醒。
我 ...

这个病毒十分顽固,在系统正常运行时无法将其删除,只能进入PE系统进行处理。
处理方法方法如下:            
             1. 将本地系统注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services下的xxxxxxxxx.sys注册表项删除。
             2. 重启使用火绒进行快速扫描,即可清除。
强烈建议支持正版系统,只有我们共同努力才能真正净化我们的互联网大环境,使病毒无处藏身。




回复

使用道具 举报

47667 51
6#
发表于 2016-4-18 18:38:49 | 只看该作者
Chang_Feng 发表于 2016-4-18 18:27
这个病毒十分顽固,在系统正常运行时无法将其删除,只能进入PE系统进行处理。
处理方法方法如下:         ...

正版要钱,多数笔记本才正版,另外电脑店哪个不是用盗版系统?大环境,你懂得
回复

使用道具 举报

47667 51
7#
发表于 2016-4-18 19:49:37 来自手机 | 只看该作者
支持!有主页被改的经历!
回复

使用道具 举报

47667 51
8#
发表于 2016-4-18 19:55:49 | 只看该作者
小马太有名了,诶
回复

使用道具 举报

47667 51
9#
发表于 2016-4-18 21:49:44 | 只看该作者
黑色产业链。现在都是技术对抗了。可惜的是国产的互联网大厂商也是这样的。只不过,免费给你用,保护电脑安全,这个软件免费给你用,激活系统。就好像某款去广告软件 劫持主页,用的人都知道,但是人家愿意。效果达到了。国内互联网环境如此。我说的是实话而已。官人也不要生气。
回复

使用道具 举报

47667 51
10#
发表于 2016-4-18 23:12:44 来自手机 | 只看该作者
写的非常的详细,得到了很大的帮助。火绒真好,人间大爱。佩服文章作者。赞。
回复

使用道具 举报

47667 51
11#
发表于 2016-4-19 13:33:10 | 只看该作者
已经感染的会被检测到么
回复

使用道具 举报

47667 51
12#
发表于 2016-4-20 13:49:39 | 只看该作者
火啊火 发表于 2016-4-19 13:33
已经感染的会被检测到么

仔仔细细的看完就懂了
回复

使用道具 举报

47667 51
13#
发表于 2016-4-20 21:14:52 | 只看该作者
zxh 发表于 2016-4-20 13:49
仔仔细细的看完就懂了

太长了,懒啊。应该是没用过这玩意,虽然电脑里有一个不知道什么时候下载的样本
回复

使用道具 举报

47667 51
14#
发表于 2016-4-21 13:19:57 | 只看该作者
我也有在用,特意下了你们的火绒,但是没查出来啊。。。。

111.png (66.86 KB, 下载次数: 3368)

111.png
回复

使用道具 举报

47667 51
15#
发表于 2016-4-21 20:57:19 | 只看该作者
还有这款office激活工具,把快速启动栏的快捷方式的目标位置尾端加入了:http://so.heukms.com/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表