火绒安全软件

标题: 新病毒利用多家知名下载站疯狂传播 日感染量最高达十... [打印本页]
作者: huoronganquan    时间: 2018-2-11 18:20
标题: 新病毒利用多家知名下载站疯狂传播 日感染量最高达十...
一、        概述
近日,火绒安全团队发现,新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播,日感染量最高可达10余万台。该病毒感染用户电脑后,会强行添加QQ好友,散播淫秽、赌博、诈骗等违法信息,还有劫持浏览器首页等侵害行为。经技术排查发现,在“2345软件大全”、“非凡软件站”等18家下载站内(详见下图)均可能被该病毒利用,近期在这些站点下载过软件的用户,都有可能被感染,建议大家尽快使用“火绒安全软件”及专杀工具,对电脑进行扫描查杀。

1.jpg

根据“火绒威胁情报系统”监测显示,病毒在今年1月16日至1月25日和1月30日至2月2日两个时间范围内,通过“高速下载器”进行传播,并且只感染Win8及以下版本系统用户。也就是说在该时间段内,Win8及以下版本系统用户在上述下载站中,通过“高速下载”方式下载任意软件时,电脑都可能会被感染病毒“VanFraud”,其他用户则不会下载到带毒高速下载器。但不排除病毒团伙日后会升级攻击手段,再次作恶。

2.jpg

病毒“VanFraud”感染用户电脑后,会窃取QQ登录信息,进而在用户QQ中强行添加一位“QQ好友”,并将“QQ好友”拉入用户所在的QQ群中,散播赌博、淫秽、诈骗、高利贷等不良信息;同时会将不良信息转发到用户QQ空间;此外,还会篡改浏览器首页,跳转到2345导航页面。
病毒团伙会让病毒尽量躲开安全软件的查杀,当“VanFraud”检测到用户电脑中存在安全软件和安全分析工具时,将不会被激活,执行恶意行为。

3.jpg

“火绒安全软件”最新版即可拦截病毒“VanFraud”。对于已经感染该病毒的非火绒用户,可以下载使用“火绒安全软件”及“火绒专杀工具”彻底查杀该病毒(操作流程详见Tips)。

Tips:
“VanFraud”病毒查杀方式
1、先进入火绒官方论坛(https://bbs.huorong.cn/thread-18575-1-1.html)下载"专杀工具",安装后,点击"开始扫描"。
2、之后进入火绒官网下载(https://www.huorong.cn/)下载“火绒安全软件”,在【病毒查杀】功能版块点击“快速查杀”。


二、        病毒来源
火绒近期发现,数字签名为“Huai'an Qianfeng Network Technology Co., Ltd.”的高速下载器携带恶意代码。通常,下载站的高速下载器不论最终安装何种软件,下载器程序都是完全相同的(下载器会根据自身文件名中“@”符号后面的软件编号向服务器请求下载相应的软件)。因此,一旦携带恶意代码的高速下载器上线,该下载站所有通过高速下载器安装的软件都会受到恶意代码的影响。通过火绒终端威胁情报系统,我们发现,带有恶意代码的下载器曾经在2018年1月16日至1月25日和1月30日至2月2日两个时间范围内进行过传播。经过筛查,我们发现可以下载到带有该签名高速下载器的站点众多,但当前公网可以下载到的该签名下载器暂不包含恶意代码。不排除之前两个时间段的测试是为了进行“试水”的可能性,将来可能会全面放开。可以下载到上述签名的下载站,如下图所示:

4.jpg
带有相同签名的下载站

经过测试,我们发现下载站服务器对User-Agent中的当前系统版本进行了限制,只有在Windows 8及以下系统才会下载到带有上述签名的高速下载器。在测试过程中我们发现,病毒下载的恶意驱动会造成32位Win7系统蓝屏,所以我们推测,只有低版本Windows系统才可以下载该版本下载器的原因,可能是因为病毒代码对高版本系统支持的不够好。如下图所示:

下载站高速下载器.jpg
下载站高速下载器

下载器运行界面,如下图所示:

下载器运行界面.jpg
下载器运行界面

携带恶意代码的高速下载器与其他下载器带有相同的有效数据签名。在下载器执行后会创建恶意代码线程,从远端C&C服务器下载病毒程序到本地进行执行。文件信息对比,如下图所示:

文件信息对比.jpg
文件信息对比

携带恶意代码的下载器签名验证信息,如下图所示:

数字签名验证信息.jpg
数字签名验证信息

两个版本下载器代码逻辑除恶意代码部分外,其他逻辑代码完全相同。如下图所示:

下载器逻辑对比.jpg
下载器逻辑对比

通过下图我们可以看出,两个版本下载器的下载器部分代码逻辑相同,且字符串解密部分逻辑与病毒代码所使用的字符串解密逻辑完全相同。据此我们可以推测,高速下载器中的恶意代码与该下载器制作厂商存在直接关系。如下图所示:

代码逻辑对比.jpg
代码逻辑对比

三、        详细分析
恶意代码执行流程,如下图所示:

恶意代码执行流程.jpg


恶意代码执行流程

1.        携带恶意代码的高速下载器
带有恶意代码的高速下载器运行后,首先会检测安全软件进程和本地时间。病毒检测的软件包括杀毒软件、安全分析工具和虚拟机相关进程,一旦检测到进程名中包含指定的安全软件字符串,则会退出恶意代码逻辑。被检测的安全软件,如下图所示:

被检测的安全软件.jpg
被检测的安全软件

程序还限制了恶意代码的运行时间,如果本地时间为2017年9月且日期早于18日,则不会继续执行恶意代码。带有恶意代码的高速下载器签名日期为2017年9月13日,上述逻辑用来指定恶意代码的潜伏期。相关代码,如下图所示:

检测本地时间相关代码.jpg
检测本地时间相关代码

随后,该病毒会创建线程向远端C&C服务器(hxxp://dn.tenqiu.com)发送终端计算机信息,如下图所示:

发送信息.jpg
发送信息

在讲终端信息发送到C&C服务器前,会将信息用Base64编码,之后向指定网页传递访问参数,参数名为“dt”,如:hxxp://dn.tenqiu.com/mq.php?dt=Base64编码的终端信息。相关代码如下图所示:

请求数据.jpg
请求数据
请求发送后,服务器会返回一段Base64编码的json数据,解码后可以得到如下数据:

解码后的json数据.jpg
解码后的json数据

在上图json数据中,属性“u”中存放的字符串为下载者病毒下载地址,属性“m”中存放的字符串为下载者病毒文件的MD5值。病毒被下载到本地后,该文件会被存放至temp目录名为 Net.Framework.d343007000000.exe,文件名后半部分为16进制的系统时间戳。相关代码如下图所示:

构造释放文件名.jpg
构造释放文件名

下载下载者病毒.jpg
下载下载者病毒

2.        下载者病毒
病毒被下载到本地执行后,首先会通过调用WMI的方法查询本地MAC地址,之后将MAC地址发送至C&C服务器(链接:hxxp://63.141.244.5/api/fqs.asp?mac=MAC地址&ver=18118)。代码如下图所示:

查询本地MAC地址.jpg
查询本地MAC地址

上传数据.jpg
上传数据

之后,该病毒会从指定的三个链接中下载三个病毒文件至本地temp目录进行执行。链接及文件名,如下图所示:

下载链接及文件名.jpg
下载链接及文件名

下载执行流程大致相同,以svahost为例。代码如下图所示:

下载执行svahost.jpg
下载执行svahost

该病毒所下载的三个病毒文件功能各不相同,不同功能的病毒文件名之间会不时进行交替,我们用病毒功能对这三个病毒进行区分并展开详细分析。

3.QQ好友推广病毒
该病毒主要用于推广QQ好友,通常被推广的QQ号多会涉及赌博、淫秽、诈骗、高利贷等内容,病毒会利用技术手段强行推广,并借助下载站的高速下载器迅速扩大病毒影响范围。由于病毒操作信息较为敏感,报告中已经对相关内容进行了删减。被强行添加的好友如下图所示:

被强行添加的QQ好友.jpg
被强行添加的QQ好友

病毒运行后,首先会通过类名“5B38xxxx-xxxx-xxxx-xxxx-xxxx8CA3E942“搜索窗体。上述类名窗体是由QQ创建,窗口内容中存放有当前登录的QQ号。相关代码如下图所示:

获取当前登录QQ号.jpg
获取当前登录QQ号

在获取到QQ进程PID后,通过代码搜索的方式找到QQ与主界面相关的关键函数,将函数入口代码改为return。通过上述操作,屏蔽用户对QQ主界面的操作,比如打开好友聊天窗口。相关代码如下图所示:

搜索QQ界面关键函数.jpg
搜索QQ界面关键函数
屏蔽QQ主界面操作.jpg
屏蔽QQ主界面操作

之后,病毒会从远程C&C服务器(hxxp://69.30.244.10/txt/yqh.txt)获取到进行欲强行推广的QQ号。如下图所示:

请求推广QQ号.jpg
请求推广QQ号
使用当前登录QQ号和远程获取到的推广QQ号构造tencent://链接,链接被访问后QQ会弹出添加好友界面,之后通过搜索添加好友窗体模拟用户点击的方式强行添加QQ好友。相关代码如下图所示:

强行添加QQ好友.jpg
强行添加QQ好友

利用QQ快速登录获取到的当前用户uin、skey和token,登录http://qun.qzone.qq.com获取群数据,向http://qun.qq.com发送添加群成员数据,强行添加群成员。相关代码如下图所示:

强行添加群成员.jpg
强行添加群成员

4.        QQ空间推广病毒
与QQ好友推广类似,病毒首先会在本地获取到当前登录QQ的本地登录信息,之后登录QQ空间转发从远程C&C服务器获取到的QQ空间动态。用户中毒后,QQ空间会强制转发病毒作者设置空间动态,并会在转发同时加入评论。以下图为例,病毒会强制转发小额贷款内容,转发评论为“过个好年就靠这个了”,以达到其恶意推广目的。如下图所示:

被推广的QQ空间动态.jpg
被推广的QQ空间动态

病毒首先会访问QQ快速登录网址(https://xui.ptlogin2.qq.com),之后使用JavaScript脚本调用QQ登录COM接口,获取当前登录用户的QQ号、昵称和ClientKey(由于代码涉及敏感操作,此处不对相关代码进行展示说明)。
利用获取到的QQ登录信息登录QQ空间,根据从远程C&C服务器(hxxp://204.12.196.42:81/home/index/number?id=xxx.js,“x“代表任意数字)获取到的数据转发空间动态。获取到的数据,如下图所示:

远程获取到的推广数据.jpg
远程获取到的推广数据

如上图数据,数据分为三个部分,分别为QQ空间动态的tid、动态所属QQ号和转发时使用的评论。相关代码如下图所示:

转发请求链接.jpg
转发请求链接

5.        流量劫持病毒
病毒运行后会释放出用来进行流量劫持的恶意驱动,被释放的恶意驱动名为volclr.sys。在火绒虚拟行为沙盒中运行结果如下图所示:

释放恶意驱动.jpg
释放恶意驱动

恶意驱动加载后,会将浏览器首页劫持为跳转链接(hxxp://www.638739.top、hxxp://www.winxitong.cn),最终会跳转到2345导航页面(hxxps://www.hao774.com/?34067-0351)。如下图所示:

跳转页面.jpg
跳转页面

劫持流量.jpg
劫持流量

被劫持浏览器列表,如下图所示:

被劫持的浏览器.jpg
被劫持的浏览器
恶意驱动加载后,volclr.sys驱动程序相关恶意行为如下:
1.        首先在minifilter过滤驱动中,对安装软件安装包进行放过,保证安全软件可以正常安装,提高病毒自身的隐蔽性。如下图所示:

被放过的进程名.jpg
被放过的进程名

2.        通过minifilter过滤,限制explorer及安全软件(火绒、360、腾讯、金山、百度、瑞星、2345安全卫士)进程无法查看目录名为drivers下的所有文件及volclr.sys。结合第一点,可以达到既不影响安全软件安装又可以与安全软件进行对抗的目的。相关代码如下图所示:

minifilter过滤drivers目录和volclr.jpg
minifilter过滤drivers目录和volclr.sys

使用explorer浏览系统drivers目录,如下图所示:

系统drivers目录.jpg
系统drivers目录

3.        限制指定浏览器加载安全软件的浏览器保护动态库,突破安全软件的浏览器保护功能,达到流量劫持目的。受限制的浏览器如下图所示:

受限制的浏览器.jpg
受限制的浏览器

受限制的动态库列表,如下图所示:
受限制的动态库.jpg
受限制的动态库

受限制动态库所属软件厂商,包括火绒、360、QQ电脑管家、金山等,甚至还包含有一款流氓软件的动态库WebSafe.dll。如下图所示:

受限制动态库所属软件厂商.jpg
受限制动态库所属软件厂商

4.        将volclr.sys的文件重定向为ACPI.sys,当打开volclr.sys文件对象时,实际打开的是ACPI.sys。如果此时删除volclr.sys,会将系统ACPI.sys删除。代码如下图所示:

替换volclr.sys文件对象名.jpg
替换volclr.sys文件对象名

文件属性,如下图所示:

volclr.sys文件属性.jpg
volclr.sys文件属性

恶意驱动原始文件属性,如下图所示:

原始文件属性.jpg
原始文件属性

恶意驱动原始签名信息,如下图所示:

原始签名信息.jpg
原始签名信息


四、        附录
文中涉及样本SHA256:

最后.jpg

作者: Hay    时间: 2018-2-11 18:29
前排强势支持
作者: HuoRong丶小宇    时间: 2018-2-11 18:29
火前留名~!
作者: 绿坝-花季护航    时间: 2018-2-11 18:32
楼上两位忘了换账号
作者: 大自然的园丁    时间: 2018-2-11 18:38
果然有重要任务,话说官人真是辛苦了,支持一下!
作者: app2002    时间: 2018-2-11 18:40
留名~~~~~~~
作者: 绿坝-花季护航    时间: 2018-2-11 18:43
由于病毒操作信息较为敏感,报告中已经对相关内容进行了删减
                                      
作者: 不忿小奇    时间: 2018-2-11 18:51
害怕,曾经用过非凡,现在已经加入到路由器禁止访问网址名单了
作者: 流星丶    时间: 2018-2-11 18:54
不检测火绒,怕不是看不起我大火绒,滑稽
作者: 流星丶    时间: 2018-2-11 18:58
win10表示不怕
作者: 不忿小奇    时间: 2018-2-11 18:59
流星丶 发表于 2018-2-11 18:54
不检测火绒,怕不是看不起我大火绒,滑稽
2.        通过minifilter过滤,限制explorer及安全软件(火绒、360、腾讯、金山、百度、瑞星、2345安全卫士)进程无法查看目录名为drivers下的所有文件及volclr.sys。结合第一点,可以达到既不影响安全软件安装又可以与安全软件进行对抗的目的。相关代码如下图所示:


有这个也不错了
作者: 不忿小奇    时间: 2018-2-11 19:00
标题“新病毒利用多家知名下载站疯狂传播 日感染量最高达十...”

是十什么,我猜应该是十万吧
作者: 不忿小奇    时间: 2018-2-11 19:07
捕1获.PNG
测试了下,2345(多特),下载flash,高速下载器,阻止了一堆推广软件,但是都成功下载下来了,并且桌面快捷方式上网导航创建成功拦截失败
能不能直接拉黑高速下载器,能够避免用户的电脑被下载了这些安装包
捕获.PNG
作者: HuoRong丶小宇    时间: 2018-2-12 10:14
不忿小奇 发表于 2018-2-11 19:07
测试了下,2345(多特),下载flash,高速下载器,阻止了一堆推广软件,但是都成功下载下来了,并且桌面快 ...

您好!

目前我们会拦截软件安装,但不会阻止其下载,桌面快捷方式,麻烦您在系统加固勾选“桌面快捷方式”试试。

感谢您的反馈。
作者: Delta    时间: 2018-2-12 11:02
不忿小奇 发表于 2018-2-11 19:07
测试了下,2345(多特),下载flash,高速下载器,阻止了一堆推广软件,但是都成功下载下来了,并且桌面快 ...

你好,自定义规则区有你想要的规则包。
非常暴力
*@*.exe
作者: 琥珀川    时间: 2018-2-12 21:08
作者: w-tekeze    时间: 2018-2-13 09:51
Hay 发表于 2018-2-11 18:29
前排强势支持

官人,还前排支持呢,快回家看看,小心后院起火。。     https://bbs.huorong.cn/forum.php ... e%3D1&mobile=no
作者: nchxmoon    时间: 2018-2-13 16:51
干的漂亮,继续分析,让病毒无所遁形~
作者: Redbeanw    时间: 2018-2-19 12:39
过去的惊悚类的游戏,侦探类游戏已经被下载站的下载所替代了。大家在下载站下载时一定要选[普通下载]!!!到下载链接界面时一定不要点前两个!!!
作者: EggHunt    时间: 2018-2-20 15:05
Delta 发表于 2018-2-12 11:02
你好,自定义规则区有你想要的规则包。
非常暴力
*@*.exe

你给我搞的这个东西啊,Excited!
作者: EggHunt    时间: 2018-2-20 15:07
嗯,说实话,其实我发现下载来的是下载器后,就会马上放虚拟机里跑,把软件下下来后,拉出来,然后。。。
Capture.PNG
作者: EggHunt    时间: 2018-2-20 15:29
My name is Van, I'm an artist, I'm a performance artist. I'm hired for people to fulfill their fantasies, their deep dark fantasies.
作者: 阳咲子    时间: 2018-2-21 11:06
暂时是万花丛中过片叶不沾身吧
作者: chuixuejr    时间: 2018-2-23 15:23
希望火绒不断加强
作者: 791010389    时间: 2018-3-1 23:34
啦啦啦啦啦支持
作者: chenk2233    时间: 2018-3-7 23:08
Windows8.1没人能打倒我,无所畏惧~这是一个van♂病毒
作者: zhchgao    时间: 2018-3-9 15:14
专业的分析,了解了。已安装了火绒。
作者: nmsstt    时间: 2018-3-11 16:58
电信劫持严重,求解决
作者: Boboreporter    时间: 2018-3-11 17:20
虽然看不懂,但也很感动....
作者: lixupeng    时间: 2018-3-12 13:22
厉害学习了!
作者: 小气财神    时间: 2018-3-13 09:43
还好我不去这些小网站下载软件
作者: funken    时间: 2018-3-13 20:03
其实现在下载站,99%都是带病毒或者恶意软件的,看到什么高速下载。。一点100%中招。。。这年头,恶意软件挡道啊。。下载站也不厚道。。
作者: 不会飞的鸟    时间: 2018-3-16 15:55
少了一个太平洋下载,这是个大毒窝
作者: iceliminghui    时间: 2018-3-26 23:45
不知道你们有没有发现安卓手机访问有些网页会出现强制弹窗,然后手机就不停的震动,随便点击就会下载apk。返回也返回不到之前的正常网页了。切换到PC版页面就没事。还有的是弹黄色广告,同样切换到PC版那些黄色广告也不见了。不是DNS劫持。

还有前不久的下载劫持,正常下载apk会被劫持为360手机助手、应用宝这种玩意、https加密下载链接倒是没事。现在我们这的网络倒是没下载劫持了。其他地方的不知道是否还有。这种的真不知道该怎么防。
作者: ANDi小木姜    时间: 2018-4-11 15:50
好吓人
作者: InabaTan    时间: 2018-4-13 10:49
表示前一阵刚中招,大概当天下午4点多左右,电脑其实并没有什么反映,火绒提醒正在打开的软件可能存在病毒,我就点阻止了,电脑也没有其他反映,第二天打开电脑正常上qq,然后就发现火绒频繁弹出正在安装xx软件,请确定是否为本人操作,然后qq就炸了,拉了好几个讨论组,我就赶紧去重启了,用火绒杀毒失败,下载某大数字,强力修复失败,想进安全模式,不知道是病毒,还是大数字的那个修复,就卡到disk.sys了,然后。。就没有然后了,重装系统呗
简单分析emmm
电脑中病毒,可能第一时间重启会比较好,至少。。。能挽救一下你的qq。
拉了一堆讨论组(讨论组人数上限100人),拉完了以后,他也会同时在每个讨论组里,用你自己的qq发一些炒股之类的广告,当然,还有强制添加的好友也会在里面。然后自己退出讨论组,由于你是讨论组的创建者,其他人无法对讨论组人员进行操作,可以喊在讨论组里的朋友拉你回那个讨论组,你就可以在电脑端对讨论组里的人进行踢出,最后解散讨论组

说个话外,我们单位网报业务经常要清理缓存,要不就没法登录,我就直接用最简单粗暴的命令写了个批处理,某大数字就直接报毒了,比如start www.baidu.com,火绒在这方面则没有拦截,火绒对于恶意的批处理会有一定的鉴定界限么?



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4