一、概述

4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。

“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号

火绒工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。

该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息,请阅读后附的详细分析报告。

二、样本分析

近期,火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞,漏洞代码执行后会从C&C服务器(hxxps:// www.yyakeq.cn)下载执行病毒代码,现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,我们推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。2345导航站中相关广告内容和相关HTML代码,如下图所示:

“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号

2345导航站中相关广告内容和相关HTML代码

从页面代码看,该广告展示代码的植入也非常“奇特”,因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果,该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线,截至本报告撰写时,该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系,如下图所示:

图片3.png

病毒页面嵌套调用关系

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击,之后再根据浏览器的User Agent加载不同的IE漏洞利用代码(banner.html或cookie.html)。相关代码,如下图所示:

图片4.png

页面加载代码

ad.html中的HTML代码中包含有混淆后的JavaScript代码。相关代码,如下图所示:

图片5.png

ad.html中的HTML代码

ad.html中代码会被先后解密两次,最终得到漏洞调用代码,根据漏洞利用代码的调用逻辑,我们可以粗略确认受影响的Flash版本范围为21.0.0.180 至 31.0.0.160之间。相关代码,如下图所示:

图片6.png

最终执行的漏洞攻击相关调用代码

漏洞被触发后,会调用远程HTA脚本会从C&C服务器地址(hxxp://www.ce56b.cn/logo.swf)下载病毒数据到本地进行解密执行,被解密后的病毒数据为下载者病毒。相关进程调用关系,如下图所示:

图片7.png

漏洞触发后的进程调用关系

病毒解密相关代码,如下图所示:

图片8.png

病毒解密代码

banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。相关代码,如下图所示:

图片9.png

解密远程HTA脚本地址

图片10.png

漏洞触发代码

漏洞被触发后,最终被下载执行的下载者病毒会根据C&C服务器返回的配置(hxxp://www.ce56b.cn/tj.txt),下载盗号木马到本地进行执行。存在被盗号风险的软件包括:Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置,如下图所示:

图片11.png

下载者病毒配置

腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写,通过伪造游戏登陆界面,欺骗诱导用户输入游戏账号密码,获取到账号密码会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

图片12.png

提交账号与密码

英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面,获取用户的游戏账号和密码,并且账号密码也会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

图片13.png

提交账号与密码

在盗取Steam游戏平台账号密码 时,首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。相关代码,如下图所示:

图片14.png

调用导出函数

该动态库会安装全局钩子,用于将自身注入到steam进程,当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。注入部分代码,如下图所示:

图片15.png

安装全局钩子

HOOK SteamUI.dll用于截获用户的账号密码。HOOK 相关代码,如下图所示:

图片16.png

HOOK SteamUI.dll

被盗取的账号,同样也会发送到远程C&C服务器(hxxp://zouxian1.cn)。相关代码,如下图所示:

图片17.png

提交账号与密码

三、溯源分析

本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息,下文分块进行溯源分析。

网马溯源

通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。

图片18.png

其中一个域名指向的页面内容

图片19.png

yyakeq.cn域名注册信息

图片20.png

ce56b.cn域名注册信息

图片21.png

部分疑似DGA域名

图片22.png

部分疑似DGA域名

盗号病毒溯源

通过对盗号病毒收集URL的Whois查询,可以得到如下信息:

图片23.png

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名:

图片24.png

域名注册反查结果

另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案:

图片25.png

ICP备案查询结果

并且同日(2018年4月20日),此人还用同样的QQ邮箱([email protected])和不同的姓名注册了另外两个形式与前述域名相似的域名,如下图所示:

图片26.png

域名注册反查结果

四、附录

文中涉及样本SHA256:

图片27.png*本文作者:火绒安全,转载请注明来自FreeBuf.COM

一、概述

近期有公安、气象等行业若干单位反馈,他们检测出VRVNAC“桌面监控”软件携带恶意程序。经分析,该产品所使用的功能组件(AdvancedAll.dll)遭Ramnit病毒感染,恶意代码被包含在文件的资源数据中。

火绒团队早在2015年就发现该产品组件携带恶意代码,并告知过该公司,但问题至今未被解决。火绒团队推测,这可能是供应链污染造成的,该组件的编写者开发环境被病毒感染,导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻,也不会造成大面积扩散,但的确是潜在风险。 
据了解,这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位,火绒强烈建议该产品供应商尽快排查开发供应链,彻底解决该问题。

二、分析

近期,有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒。火绒分析师分析后,发现该组件(AdvancedAll.dll)的资源文件中的网页资源被病毒感染(火绒检测为:TrojanDropper/Ramnit.f),并且该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。VRV产品及火绒报毒界面,如下图所示:

193520bc1nv69ebzv7bv9e.png

模块加载列表

193553k7q7bhqiqlpiqtsq.png

签名比较

火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描,所以虽然恶意代码被包含在文件的资源数据中,但是仍会被检测到。如下图所示:

193616grrz0m2ll2yy3zrm.png

资源文件

被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,如下图所示:

193633it55smsmtpmmrq1s.png

释放svchost

被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件,并将二进制数据(PE文件)写入到已创建的文件,然后执行。提取到的部分代码,如下图所示:

193646mruu8r6posss0pqh.png

释放病毒文件

当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中,然后遍历全盘并感染EXE、DLL、HTML、HTM文件,用于传播自身。感染逻辑以及运行截图,如下图所示:

193659k4uh1jxhojwou55f.png

感染逻辑

193708frqmt1qnctn3u3et.png

感染后文件

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

一、 概述

近期,火绒安全团队截获蠕虫病毒”RoseKernel”。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行”挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。

该蠕虫病毒通过移动外设(U盘等)、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播:

1、通过外设传播时,病毒会将外设内的原有文件隐藏,并创建一个与隐藏文件完全相同的快捷方式,诱导用户点击后,病毒会立即运行;

2、通过劫持Office快捷方式传播后,病毒会劫持Word和Excel快捷方式,让用户新建的文档带有病毒代码。当用户将这些文档发送给其他用户时,病毒也随之传播出去;

3、通过远程暴力破解密码传播。病毒入侵电脑后,还会对其同一个网段下的所有终端同时暴力破解密码,继续传播病毒。

由于病毒通过文档、外设等企业常用办公工具传播,加上病毒入侵电脑后会对其同一个网段下的所有终端同时暴力破解密码,因此政府、企业、学校、医院等局域网机构面临的威胁最大。

病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行”挖矿”(门罗币),并结束其它挖矿程序,以让自己独占计算机资源,使”挖矿”利益最大化。此外,病毒会破坏Windows签名校验机制,致使无效的签名验证通过,迷惑用户,提高病毒自身的隐蔽性。”RoseKernel”病毒还带有后门功能,病毒团伙可通过远程服务器随时修改恶意代码,不排除未来下发其它病毒模块到本地执行。

二、 样本分析

火绒近期截获到一组蠕虫病毒样本,该病毒通过暴力破解方式远程创建WMI脚本,病毒中含有远控功能,可以下发任意模块到本地执行,目前危害有:窃取数字货币钱包,利用本地计算资源进行挖矿(门罗币),不排除未来下发其他病毒模块到本地执行的可能性。病毒模块及功能,如下图所示:

模块介绍

在这里将该病毒分为rknrl.vbs模块和DM6331.TMP 模块来分别叙述。

rknrl.vbs模块

rknrl.vbs可以看做是一个加载器,DM6331.TMP是经过加密的VBS代码,它会读取DM6331.TMP后执行,经过解密后DM6331.TMP是病毒的主要功能模块,该模块功能会在后边详细叙述。如图所示,解密后的”aB”函数是病毒的主要解密函数,大部分被加密的字符串都会使用该函数进行解密,后文不再赘述。在这里病毒作者将加载器和被加密的病毒代码分为2个文件目的是为了躲避杀软的特征查杀。解密流程,如下图所示:

代码解密

DM6331.TMP模块

DM6331.TMP模块是该病毒的主要模块,由于功能较多,将会分成9个部分介绍:后门代码、组件升级、隐藏挖矿、盗窃数字货币钱包、签名重用攻击、结束其他挖矿程序、劫持Office组件快捷方式、U盘感染、远程暴力破解创建WMI脚本。

后门代码

首先调用”Getini”函数获取一个可用的C&C 服务器地址,该网站内包含:病毒和挖矿程序的下载地址、矿池钱包地址、还有远控C&C服务器地址。在获取网站内容后它会调用”chkorder”执行远控命令。”chkorder”函数包含下载、上传、删除任意文件,当前脚本环境中执行任意vbs代码,启动cmd并获取回显,获取进程列表信息,结束任意进程等功能。相关代码,如下图所示:

获取远控地址

远程后门指令

远控功能代码

组件升级

DM6331.TMP 模块会在WMI中注册名为”rknrlmon”的脚本,该脚本每间隔8秒会启动执行一次,用来获取C&C服务器远控指令,获取的内容经过解析后用作病毒和挖矿程序升级使用。相关代码,如下图所示:

版本升级

隐藏挖矿

“rknrlmon”脚本还会查看当前环境中是否存在任务管理器,如果存在,则结束挖矿程序,反之执行,从而可以提高病毒的隐蔽性。相关代码,如下图所示:

隐藏挖矿程序

盗窃数字货币钱包

DM6331.TMP 中的病毒代码在执行后会遍历受害者磁盘目录,用来偷取数字货币钱包,感染用户网站首页文件,但是会绕过系统目录和360目录。在遍历目录时发现文件夹下的文件名中包含”wallet”、”electrum”、”.keys关键字,且文件大小小于183600个字节,则会将所对应的文件上传。如果发现文件名中包含”default.html”、”index.asp”等与网站默认页面相关的文件名时,会在页面中插入带有病毒代码的JavaScript脚本标签,经过解密后的JavaScript代码内包含一个指向病毒C&C服务器的链接,该链接目前已无法访问,被感染的网页文件内会被添加”//v|v\\”字符串,作为被感染的标记。相关代码,如下图所示:

遍历用户目录

窃取数字货币和感染网站首页

签名重用攻击

该病毒通过更改Windows 注册表方式,破坏Windows签名校验机制,从而使其无效的”Microsoft Windows”数字签名验证通过。相关代码,如下图所示:

破坏Windows签名校验机制

感染病毒前后文件数字签名信息,如下图所示:

感染前后病毒文件数字签名信息

结束其他挖矿程序

在启动挖矿程序后,还会通过WMI遍历当前进程列表,如果存在”xmrig”、”xmrig-amd”等含有矿工名称的进程时会结束对应进程。目的是为了独占计算机资源进行挖矿,扩大挖矿收益。相关代码,如下图所示:

结束其他挖矿程序

劫持Office快捷方式

DM6331.TMP 在执行后会将带有宏的Word文档(rknrl.TMP1)和Excel文档(rknrl.TMP2)拷贝到Office目录下,然后遍历桌面目录,在Word与Excel办公软件的快捷方式添加命令行参数。相关代码,如下所示:

劫持Word和Excel快捷方式

被篡改后的快捷方式参数及其解释,如下图所示:

当启动被劫持的快捷方式后,会调用带有病毒代码的文档文件,病毒代码运行后会在Temp目录下释放rknrl.vbs和DM6331.TMP并注册病毒WMI脚本。因为启动参数为基于病毒文档打开,所以当用户将新建的文档保存后,文档中也会带有病毒代码,如果用户将带有病毒代码的文档发送给其他用户,就会帮助病毒进行传播。病毒宏代码,如下图所示:

释放病毒

U盘传播

该病毒会在移动存储设备中创建与根目录中文件夹名近乎相同的病毒快捷方式(如果该文件夹名长度不等于一,那么该病毒会删除原始文件名最后一个字符,然后以这个名字创建快捷方式),同时将真实的文件夹隐藏,诱导用户点击执行病毒。相关代码,如下图所示:

U盘传播代码

被感染的U盘

WMI弱口令暴力破解

该病毒还可以通过弱口令暴力破解方式远程创建WMI脚本进行传播,传播对象不仅限于局域网还会攻击互联网上存在的任意主机。首先会获取本地IP,之后对同一网段除广播地址外所有主机进行暴力破解攻击。之后病毒还会随机生成一个IP地址,通过同样的攻击方式进行外网传播。相关代码,如下图所示:

生成随机IP地址

WMI弱口令暴力破解

三、 附录

样本SHA256

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

一、 概述

火绒安全团队发现,病毒团伙正利用”远景”论坛的系统镜像文件传播后门病毒”WenkPico”。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流量,牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块,攻击其它安全软件,让部分安全软件的”云查杀”功能失效,使用户电脑失去安全防护。

查杀图.jpg

火绒工程师分析发现,病毒团伙将病毒嵌入在系统镜像文件中,当用户从”远景”论坛中下载安装这些系统镜像文件后,就会运行病毒。建议近期下载该系统镜像文件的用户,尽快查看电脑C:\windows\system32\drivers目录,如果出现名为EaseFlt.sys和adgnetworkdrvw.sys的驱动文件,则表明已经中毒,可使用 “火绒专杀工具”彻底查杀该病毒。

病毒侵入用户电脑后,会通过多种方式劫持流量,牟取利益:将用户的导航劫持为Hao123或2345导航页;让用户访问购物网站时跳转到购物返利的链接中(受影响的购物网站如下图);还会劫持用户下载软件的地址,并替换为病毒团伙上传的软件渠道包。病毒团伙可随时通过C&C服务器更改被劫持的软件下载地址,不排除未来会向用户电脑派发更具威胁性病毒的可能性。

184145ysl58rbb18uczuru.png

更可怕的是,该病毒利用了国内安全厂商软件模块,可阻止国内外主流安全软件联网查杀(受影响安全软件如下图),对依赖”云查杀”的360安全卫士影响较大,使云查杀功能失效,并且阻止安全软件上传病毒样本;对卡巴斯基等具备本地杀毒引擎的安全软件影响较小。火绒用户无需担心,”火绒产品(个人版、企业版)”使用自研新引擎,断网环境下,杀毒能力不受任何影响。

184155d7q1oqqkegkmq61h.png

最终,通过技术溯源发现,该病毒利用的软件模块带有的数字签名为”Shandong Anzai Information Technology CO.,Ltd.”(”山东安在信息技术有限公司”),建议该公司尽快排查。

“WenkPico”病毒查杀Tips:
1、点击下载”火绒专杀工具”http://bbs.huorong.cn/thread-18575-1-1.html
2、安装后点击”开始扫描”。

二、样本分析

近日,火绒接到用户反馈,从远景论坛中下载到的系统镜像中含有病毒程序。病毒运行后,会通过网络过滤劫持Hao123和2345导航推广计费号,劫持软件安装包下载地址,受影响的软件包括:腾讯电脑管家和QQ浏览器。当用户访问购物网站时,还跳转到购物返利链接。受影响的购物网站,如下图所示:

184208itiv23n32f3n3ia2.png

受影响的购物网站

劫持现象,如下图所示:

184217oxd56x360360xfs7.png

劫持现象

病毒还会通过禁止安全软件组件联网和禁止计算机访问云查杀地址的方式与安全软件进行对抗,从而试图使依赖云查杀的安全软件失去对病毒的查杀的能力。被禁止联网的安全软件,如下图所示:

184228ybbabqbtntbhbtuq.png

被禁止联网的安全软件

除此之外,病毒还带有文件保护功能,当用户读取病毒相关驱动文件时,返回的数据为系统文件bindflt.sys的文件内容,从而迷惑用户,提高病毒的隐蔽性。以文件属性为例,如下图所示:

184238l7h5behswqkl37eu.png

病毒对自身驱动文件保护

病毒主模块文件名为wkms.dll,除病毒代码外还包含有系统激活相关逻辑。该动态库会被注册为系统服务,每次开机后都会被调用。该病毒模块首次被调用时,会释放多个可执行文件(如上图红框所示),其中EaseFlt.sys为EaseFilter SDK中所提供的驱动程序,该驱动中提供了文件过滤和进程保护功能,功能可以通过EaseFilter SDK中的动态库进行调用,动态库数据也被存放在wkms.dll中;adgnetworkdrvk.sys和adgnetworkdrvw.sys都为网络过滤驱动,两个驱动文件完全相同,其中adgnetworkdrvk.sys被用来进行系统激活,adgnetworkdrvw.sys用来设置恶意网络过滤规则。值得一提的是,我们发现在Win10以下系统中安装wkms.dll服务动态库后,其释放出的网络过滤驱动文件均带有”Shandong Anzai Information Technology CO.,Ltd.”有效数字签名。由于该驱动被调用时未检测调用者,所以我们初步怀疑该驱动文件被病毒利用。”Shandong Anzai Information Technology CO.,Ltd.”数字签名,如下图所示:

184249h3289pl9f838sqbf.png

下面针对上述病毒功能模块进行详细分析。

驱动保护

病毒服务动态库wkms.dll被存放在system32目录,wkms.dll运行所产生的所有病毒数据都被存放在system32\oobe目录下。病毒运行后,首先会获取系统版本,之后根据系统版本释放EaseFlt.sys,并将EaseFilter动态库在内存中进行映射展开,通过映射展开的动态库调用EaseFilter驱动中的文件过滤功能。相关代码,如下图所示:

184258o3gauiic9giigu3o.png

内存展开EaseFilter动态库代码

病毒调用文件过滤功能后,会将之前释放的三个驱动的文件对象劫持到系统文件BindFlt.sys,通过这种手段让用户和安全分析人员误以为该文件为系统文件,从而提供病毒的隐蔽性。相关代码,如下图所示:

184308fjml2cpfwj9jv29l.png

调用文件过滤代码

除此之外,病毒还会调用EaseFilter中的进程保护功能,保护wkms.dll模块所在进程,如上图最下方红框所示。
网络过滤
病毒网络过滤相关逻辑运行后,首先会通过C&C服务器(hxxps://w.360scloud.com)请求病毒模块af.dat的下载地址,af.dat文件被下载后会被释放到system32\oobe目录下,再由wkms.dll调用执行。通过请求链接,病毒可以获取到一段以”#S#”开头 “#E#”结尾,由Base64编码过的数据(由于数据过长下图只展示部分数据)。将数据解码后,我们可以得到原始的配置数据。病毒通过C&C服务器请求数据过程完全相同,下文不再赘述。请求链接及下载到的配置数据,如下图所示:

184321p8x4xegz77d2e8p8.png

请求链接及下载到的配置数据

除了下载af.dat病毒模块外,此处的配置文件中还可以存放需要执行的任意命令行,根据现行的配置数据存放命令行的字段尚未被启用,但是不排除病毒将来下发恶意命令行到用户本地执行的可能性。相关配置文件解析代码,如下图所示:

184329xjhfjignqznmsnmm.png

配置文件解析代码

wkms.dll在加载af.dat后,会调用其导出函数AF添加恶意网络过滤规则劫持流量、阻止安全软件联网、阻止访问安全软件云查链接。wkms.dll模块调用af.dat相关代码,如下图所示:

184338vl2qodkli9domlhl.png

wkms.dll模块调用af.dat相关代码

af.dat中的病毒代码被执行后,首先会根据系统版本释放网络过滤驱动adgnetworkdrvw.sys,之后通过C&C服务器(hxxps:// w.360scloud.com)获取恶意网络过滤规则。规则共分为两个部分:流量劫持和对抗安全软件。在流量劫持部分规则中,病毒除了会劫持推广计费号外,还会劫持用户下载的软件安装包地址,在用户下载的软件官网安装包时,实际下载到的却是病毒作者提供的渠道包,从而达到变现目的。截至到报告发布前,受影响的软件安装包包括:QQ浏览器和腾讯电脑管家。由于网络过滤规则是通过病毒作者的C&C服务器下发的,病毒作者可以随意调整劫持地址,所以我们不排除安装包地址被劫持为病毒下载地址的可能性。由于流量劫持规则众多仅以部分规则为例,如下图所示:

184348svajhg3ax2gfjgci.png

流量劫持规则

对抗安全软件的网络过滤规则,主要用于对抗安全软件联网云查杀和阻止安全软件更新。病毒会通过禁止访问安全软件”云查杀”地址的方式,使部分安全软件的云查杀功能失效,并且阻止安全软件上传病毒样本,从而直接影响安全软件正常的防毒能力。病毒过滤规则生效后,会直接影响360安全卫士等安全软件请求云查杀结果,使安全软件失去相关安全防护功能。中毒现象,如下图所示:

184357euxf65fakh277okx.png

360安全卫士云查杀功能失效

相关规则数据,如下图所示:

184405xnn7yxeretxe3xer.png

阻止访问云查杀地址规则

除此之外,病毒还会拒绝安全软件进程进行网络请求,受影响的进程名包括:HipsDaemon.exe、360Tray.exe、liveupdate360.exe 、QQPCRTP.exe等。虽然火绒的HipsDaemon.exe和HipsTray.exe进程也在规则列表中,但是由于火绒使用本地病毒库进行查杀,所以不会受到该规则影响。相关规则,如下图所示:

184416zk6sf5ciqx5zve6d.png

请求链接及下载到的配置数据

三、附录

样本SHA256

184426c7q00cmqt0m774c0.png

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

一、概述

日前,火绒安全团队发现某商业公司制作的流量劫持病毒”FakeExtent”(产品名为”天馨气象”),正通过”WIN7之家”等下载站中的多款激活工具大范围传播。该病毒入侵电脑后,会释放多个恶意插件,篡改系统配置、劫持流量。 通过”火绒威胁情报系统”监测和评估,已有数十万台电脑被该病毒感染。  

商业公司以制作病毒为主业,已有数十万台电脑被感染

目前,国内外安全软件仅对该病毒进行查杀,并不查杀该病毒植入的某些恶意插件,这导致被感染用户在主病毒被杀之后,依然面临被攻击的风险。2015年,360安全团队曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,并利用激活工具传播病毒。
“火绒安全软件”无需升级即可查杀该病毒,建议近期下载过下述软件的用户,尽快使用”火绒安全软件”对电脑进行扫描查杀。

商业公司以制作病毒为主业,已有数十万台电脑被感染

火绒工程师分析发现,病毒作者将病毒”FakeExtent”植入到 “KMSTools”、”暴风激活工具V17.0″等软件激活工具中,并上传到 “WIN7之家”等下载站中,用户一旦下载并运行上述软件,该病毒就会感染电脑,向用户浏览器中安装名为”天馨气象”和”星驰天气助手”病毒插件。并向IE浏览器中添加BHO插件。
上述恶意插件进入用户电脑后,将会劫持浏览器流量、网页广告弹窗以及将下载的安装包替换为病毒作者提供的渠道包,然后挂上和上游公司分成的计费名,以和其分成。
火绒工程师发现BHO插件带有”上海旻嘟网络科技有限公司”签名,截至发稿,除火绒外,仍没有安全厂商对该插件报毒。

商业公司以制作病毒为主业,已有数十万台电脑被感染

根据火绒工程师溯源分析,此次火绒发现的病毒插件与2015年就被曝光过的病毒插件”叮叮天气”公司法人信息基本一致,可以确认为同一个病毒制作团伙所为。 

二、初步分析

前段时间火绒安全团队发现一款伪装成浏览器插件的恶意程序,在火绒对其进行查杀后,我们对该病毒感染情况进行了持续追踪,通过”火绒威胁情报系统”监测和评估,已有数十万台电脑被该病毒感染。在多引擎查杀结果中,发现大部分安全厂商都未能对该病毒进行查杀。多引擎查杀扫描结果,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 1、多引擎查杀结果

该恶意程序会通过”再打包”方式将恶意程序安装包打包到系统激活工具中,再将重新打包的激活工具上传至”Win7之家”等下载站(win7zhijia.cn)。下载页面,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 2、含有恶意程序的下载站

常见被捆绑该病毒的激活工具,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 3、被捆绑的激活工具 

恶意程序安装包运行后不但会尝试释放多款浏览器插件进行流量劫持,还会为恶意程序安装包创建自启动项,每次开机都会检测插件部署情况,如果插件不存在则会再次进行释放。受该病毒影响的部分浏览器,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 4、受该病毒影响的部分浏览器 

浏览器主要恶意行为如下: 

1.  关闭操作系统UAC权限管理,添加自启动项。
2.  在用户访问网页时,会跳转到带有病毒作者推广计费号的网址。
3.  将下载的安装包替换为病毒作者提供的渠道包。
4.  在访问网页中插入浮窗广告。
5.  在用户访问购物网站时,将商品链接更换为作者的CPS返利链接。 

恶意浏览器插件,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 5 、Chrome被劫持后

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 6、 IE浏览器被劫持后

恶意浏览器插件会在所有被访问页面代码中插入恶意脚本,如当访问百度或其他导航站页面时,被插入的恶意代码会将页面跳转到用于流量劫持的跳转页面,最后再跳转到带有病毒作者推广计费号的URL地址。例如在访问百度时,首先会跳转到www.fj066.com 然后重定向到携带推广计费号的网址hxxps://www.baidu.com/?tn=939*****_hao_pg。

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 7 、被劫持的百度页面

如上图所示,网页源码中已经被添加了恶意脚本。 

三、 详细分析 

被捆绑的激活工具运行后会先将恶意程序安装包释放在Temp目录下并运行。安装包会把文件释放在C:\Windows\Help\IBM中,然后设置自启动项,通过修改注册表键值的方式关闭UAC(User Account Control),严重降低了用户的计算机的安全性。恶意程序所在目录和被修改的注册表路径,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 8、病毒释放出来的文件

211122e1g8bgzpxrkxg1tp.png

图 9、病毒修改的部分注册表键值

释放出的TxExtent.exe和XCExtent.exe分别会释放”天馨气象”和”星驰天气助手”到Extensions目录。并将该虚假插件安装到对应浏览器中。值得一提的是,该病毒在工程名里把自己称作”流氓镜像快马”。恶意程序PDB路径,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 10、恶意程序PDB路径

在Chrome浏览器被安装恶意插件后的注册表情况,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 11 、Chrome中注册插件

恶意插件将自身伪装为天气插件,但实际运行中因表层代码出错,已无任何实际软件功能。插件运行情况,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 12、插件运行

接下来,我们来分析插件内部的劫持逻辑。根据插件配置信息,插件整体分为三个部分,包括:config.js、backgroud.js和l.js。其中config.js为脚本运行的相关配置信息,存放了C&C服务器地址和配置ID,每个配置ID都对应不同的劫持逻辑。经过我们统计,此类配置ID至少有100多种。config.js代码内容,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 13、配置文件

l.js为Content Scripts脚本,恶意插件可以通过该脚本捕获所有的网络请求,在每个响应后添加远程恶意JS脚本。相关代码,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 14、 Content Scripts脚本配置

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 15 、通过Content Script注入代码

远程脚本分为24个功能模块,格式化后有1500行。脚本运行后,会先解密其中一个模块的配置文件。配置文件解密后,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 16、解密后的配置文件

主要功能分析如下:   

1. 在用户访问网页时,跳转到带有病毒作者推广计费号的网址。   

部分被劫持的网站如下:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 17、被劫持的部分网址

除了上述常见的网站外,恶意脚本还会对另外的一些导航网址(如:hao360.cn)进行过滤,当匹配到这些网址时会强行跳转到带有病毒作者推广计费号的2345网址导航地址,此类导航站地址共300多个。核心代码逻辑,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 18、劫持代码

如上图,恶意脚本会将当前访问网址和配置中的正则表达式进行匹配,匹配成功则使用redirect方法重新导向”hxxp://tx.gwj5.com/p/essw/3001″,然后通过302跳转到带有推广计费号的网址。   

2. 将下载的安装包替换为病毒作者提供渠道包。   

恶意插件会将一些软件的官网下载地址和搜索引擎搜索结果中的下载地址替换为病毒作者提供的渠道包下载地址,我们不排除该恶意插件将来将软件下载链接替换为病毒下载链接的可能性。以酷狗音乐为例,在官网点击下载链接,以及在百度和搜狗中搜索出来的安装包都会被替换为渠道包”hxxp://lxdl.591fq.com/kugou7_3655.exe”。替换模块部分代码,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 19、替换模块代码

部分配置,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图20、用于下载替换的配置信息

商业公司以制作病毒为主业,已有数十万台电脑被感染

图21 、用于搜索引擎替换下载链接的配置信息

3. 在网页中插入悬浮窗广告。   

同样使用正则匹配网址,验证浏览器信息是否符合配置里的要求,若符合,则在右下角页面中插入悬浮窗广告。其中若是电商站点则会插入该站点的商品广告,否则会插入低俗的悬浮窗广告。被插入的各类悬浮窗广告,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 22、浮窗广告

以配置ID为3001的恶意脚本为例,共有40多个网址会被插入浮窗广告。如下图是部分被插入浮窗广告的网站。

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 23、部分被插入浮窗广告的网址

相关模块代码如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 24、悬浮窗广告代码

4. 在用户访问购物网站时,将商品链接更换为作者的CPS返利链接。   

在访问淘宝、京东、苏宁等69家电商网站时,点击商品链接,会跳转到作者的返利链接。部分返利链接,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 25、部分电商返利链接

模块代码如下:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 26、返利模块代码

IE浏览器BHO插件分析
存放在C:\Windows\Help\IBM文件夹下的txweather_x64.dll和txweather_x86.dll是用于劫持IE浏览器的BHO插件。插件的相关注册表配置,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 27、BHO相关注册表配置

被安装了该插件后,使用IE访问网页,也会被插入上述JS脚本。被插入的脚本代码,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 28、IE浏览器

值得注意的是,该BHO插件打着”上海旻嘟网络科技有限公司”的数字签名,截至报告发布前VirusTotal上绝大多数安全厂商尚未对该批插件进行查杀。如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 29、VirusTotal报毒截图

火绒可对该病毒的全部恶意代码进行查杀,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

图 30、火绒查杀截图

四、溯源分析   

恶意浏览器插件”天馨气象”官网页面(hxxp://www.591fq.com),如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

“天馨气象”官网页面

根据页面中的ICP备案号”沪ICP备16025077号”,我们可以查询到更多网站注册信息。如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

更多网站注册信息

我们在上述网站注册信息中找到了名为”叮叮天气”的网站注册信息。值得一提的是,早在2015年友商就曾对”叮叮天气”浏览插件进行过查杀。通过公司的知识产权信息查询,我们发现”天馨气象”官网域名591fq.com为”上海够昂网络科技有限公司”注册,且该公司名与友商2015年报告中所提到的公司名相同。相关注册信息,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

相关注册信息

前文所述病毒模块中,IE浏览器插件模块带有”上海旻嘟网络科技有限公司”有效数字签名。文件签名信息,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

病毒模块数字签名信息

通过对比公司基本信息后,我们发现”上海够昂网络科技有限公司”与”上海旻嘟网络科技有限公司”系同一家病毒制作公司。公司基本信息对比,如下图所示:

商业公司以制作病毒为主业,已有数十万台电脑被感染

公司基本信息对比

五、附录

相关网址

商业公司以制作病毒为主业,已有数十万台电脑被感染

样本SHA256:

商业公司以制作病毒为主业,已有数十万台电脑被感染

*本文作者:火绒安全,转载请注明来自 FreeBuf.COM

一、概述

12月14日,火绒安全团队发现”驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过”永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。 

目前截获的病毒没有携带其他攻击模块,只是”潜伏”。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。

根据火绒安全团队分析发现, “驱动人生”、”人生日历”、”USB宝盒”等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过”永恒之蓝”漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。

根据”火绒威胁情报系统”监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。

火绒”企业版”和”个人版”无需升级即可拦截、查杀该病毒。火绒团队建议政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,安装使用”火绒企业版”(可免费使用3个月),可有效防御所有通过”永恒之蓝”等高危漏洞传播的各种病毒。

请广大政企单位用户从火绒官网申请免费使用”火绒企业版”,网址:https://www.huorong.cn/essmgr/essreg

二、样本分析

火绒通过火绒终端威胁情报系统检测,自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接(hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作,如下图所示:

010720nxhllmhcqy6cvypa.png

下载病毒样本

该病毒被下载到本地运行后,会将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。病毒运行进程关系图,如下图所示:

010731ntesomm23383535d.png

病毒运行进程关系图

该服务运行后,首先会在System32(或SysWOW64)释放svhhost.exe进行执行,该程序我们暂且称之为代理病毒;之后再创建svvhost.exe,该病毒用于通过永恒之蓝漏洞将svhost.exe在网络中进行传播,下文分两个部分对两个不同的病毒模块进行分析。

永恒之蓝漏洞攻击

svvhost.exe运行后会对当前所在网络扫描,使用永恒之蓝漏洞进行攻击。攻击成功后,恶意代码会通过CertUtil从C&C服务器下载病毒到被攻击终端进行执行。漏洞攻击及火绒黑客入侵拦截截图,下图所示:

010744kp72ly6hz28u8hf9.png

漏洞攻击及火绒黑客入侵拦截截图

被恶意代码执行的CertUtil下载命令行参数,如下图所示:

010754xsxxa11ckpxkza4s.png

CertUtil下载相关命令行参数

恶意代码下载到被攻击终端的病毒文件与svhost相同,下载后文件路径为c:\install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

svhost.exe与代理进程

父进程svhost.exe首先会收集本机信息,之后通过HTTP请求将在本机收集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。被回传的数据信息,如下图所示:

010805t2tk52t4rey5ptkv.png

收集系统信息

请求链接示例,如下图所示:

010820ijlzpaluawujhjai.png

请求链接示例

获取本机信息数据,如下图所示:

010834i2c2yiy8u688wz5j.png

获取系统信息

010844h5sn5bf9tbzcvkd5.png

获取安全软件运行状态

010853ufwz1t9v7w77fvpx.png

拼接请求参数

之后svhost.exe会从C&C服务器获取到加密的恶意代码下载链接,被下载的恶意代码执行方式分为两种:在代理进程内存中加载执行和直接下载到本地(svvhost.exe)运行。暂时,被下载执行的恶意代码只有svvhost.exe用来进行永恒之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez),内存加载执行相关的功能链接暂时没有被下发,我们初步推测病毒尚处于测试阶段。相关代码,如下图所示:

010902lzootr44biyqoy4r.png

解密控制命令

010910kqetorvepw42amp4.png

根据控制命令执行远程恶意代码

010919ynmimnfw0zhne8jh.png

通过FileMapping发送恶意代码

代理进程获取到恶意代码数据后进行执行,如下图所示:

010932o3zmm49f6elnewm9.png

代理进程执行恶意代码

根据火绒终端威胁情报系统,我们发现下发执行病毒文件的升级程序路径多指向驱动人生旗下应用。相关升级程序路径信息,如下图所示:

010943i0ylhlw0k8v8vvlg.png

相关升级程序路径信息

通过同源代码比对,我们发现推送病毒执行的升级模块,与人生日历升级模块代码存在同源性。同源代码,如下图所示:

010954pkk8qzuu9ukkgyut.png

同源代码

推送病毒执行的升级模块与人生日历升级模块导出函数,如下图所示:

011004g13xsvvn4pvx4ppj.jpg

导出函数对比

三、附录

样本SHA256:

011017ir0wf51e1u9r9wrr.png

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

一、概述

12月1日爆发的”微信支付”勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。

首先,该病毒巧妙地利用”供应链污染”的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。 火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。

234133j31kss3z7592skik.jpg

图:日均感染量图,最高13134台(从病毒服务器获取的数据)

据火绒安全团队分析,病毒作者首先攻击软件开发者的电脑,感染其用以编程的”易语言”中的一个模块,导致开发者所有使用”易语言”编程的软件均携带该勒索病毒。广大用户下载这些”带毒”软件后,就会感染该勒索病毒。整过传播过程很简单,但污染”易语言”后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。 

此外,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。 

二、样本分析

近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:

234200f0y2jfvvyfqq0lkq.jpg

供应链污染流程图

编译环境被感染后插入的恶意代码,在易语言精易模块中被插入的易语言恶意代码,如下图所示: 

234216q111wq9psb5mop52.jpg

精易模块中的恶意代码

在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组”白加黑”恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

下载病毒文件相关代码

病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:

234229ixa7zj8s8pffy9tl.jpg

请求到的网页内容

上述数据经过解密后,可以得到一组下载配置。如下图所示:

234931i3gglswewjw3xgrg.jpg

被解密的下载配置

解密相关代码,如下图所示:

234950brtqh050z68kqtez.jpg

解密代码

通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:

235001wisv8soanswv88fl.jpg

数据文件

libcef.dll   

libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:

235012efkfwpk00p3bvuuv.jpg

下载配置

下载代码,如下图所示:

235022lyjcpcpjzykp0bpj.jpg

下载代码

下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:

235031kq24hh56ff352q7o.jpg

定位Payload压缩包位置回写文件

通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:

235041nl64vdiv6a9w6gc7.jpg

下载配置

我们在病毒模块JPG扩展名后,用”_”分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:

235051tgv4qxv41zmeqtpy.jpg

勒索病毒压缩包目录情况

三、病毒相关数据分析

火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问数据库,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。
我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。
日均感染量,如下图所示:

235102iqmavl6qcmozfgst.jpg

日均感染量

感染总量统计图,如下图所示:

235112vikfkmlkaqflvlyv.jpg

感染总量

现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。

四、附录

样本SHA256:

235134oshz2bzqmtcnmhop.jpg

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

前言

近日(12月1日)突发的”微信支付”勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。

一、 概述

该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括”腾讯游戏、英雄联盟、tmp、rtl、program”,而且不会感染使用gif、exe、tmp等扩展名的文件。

值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。

“火绒安全软件”已于昨天紧急升级,可拦截、查杀该病毒,广大用户如果遇到新情况,可通过火绒官方论坛、微博、微信公众号等渠道,随时向火绒安全团队反映或求助。

二、 样本分析

近期火绒接到用户反馈,使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称”因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:

勒索提示窗口

病毒代码依靠”白加黑”方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息,如下图所示:

被病毒利用的白文件数字签名信息

该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名,如下图所示:

被排除的目录名

在病毒代码中,被排除的文件扩展名之间使用”-”进行分割,如:-dat-dll-,则不加密勒索后缀名为”.dat”和”.dll”的数据文件。相关数据,如下图所示:

被排除的文件扩展名

目录名和文件扩展名排除相关代码,如下图所示:

排除目录名

排除文件扩展名

值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。病毒中的虚假说明信息,如下图所示:

病毒中的虚假说明信息

加密相关代码,如下图所示:

数据加密

在之前的用户反馈中,很多用户对勒索提示窗口中显示的感染病毒时间颇感困惑,因为该时间可能远早于实际中毒时间(如前文图中红框所示,2018-08-08 06:43:36)。实际上,这个时间是病毒作者用来谎骗用户,从而为造成来的虚假时间,是通过Windows安装时间戳 + 1440000再转换成日期格式得来,Windows安装时间戳通过查询注册表方式获取,注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用这个虚假的中毒时间误导用户,让用户误以为病毒已经潜伏了较长时间。相关代码,如下图所示:

虚假感染时间显示相关代码

解密工具

下载地址:https://www.huorong.cn/download/tools/HRDecrypter.exe

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

前言

临近双十一,流氓软件开启一波推广高潮。用户只要安装”2345好压”、”2345看图”、”2345拼音”、”2345浏览器”等2345家族软件,都会被静默推广双十一快捷方式。

事件解构

根据”火绒威胁情报中心”监测和评估,10月20日-24日,全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台,日均推广次数为2550余万次,平均每台电脑每天都会受到2次以上的流氓推广。

监测和评估

根据上图可以看出,上述软件流氓推广次数在18、19日为8-10万次,20日急剧上升至1990余万次,约为此前的200倍,且在随后继续上升,最高达2598余万次。

此次推广分为两种方式,一种是桌面静默推广,会给用户创建一个名为”天猫双11十周年狂欢”的快捷方式;另一种是双十一广告弹窗。用户点击后,都会跳转至天猫双十一活动主页面。推广任务执行前,用户不会收到任何相关提示,且无法在软件中关闭推广功能。此外,软件厂商可随时远程修改推广内容和时间。

拦截

火绒工程师特别提醒,随着双十一临近,流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进行拦截(默认开启)。另外,双十一前后也是网购诈骗的高发期,想要在狂欢节血拼的网友们,对此也一定要提高警惕,以免遭受财产损失。

相关分析如下:

经过火绒分析发现,2345旗下四款软件安装后均会释放Helper_xxxx.exe程序(如:2345好压会Helper_Haozip.exe)。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的HelperMain.dll动态库,调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放在%AppData%\Roaming\Helper_2345\Resource目录下,根据现有配置,推广动态库可以执行两种推广行为,分别为释放桌面快捷方式和弹出三种不同的广告弹窗。

静默释放推广快捷方式时火绒相关拦截日志,如下图所示:

火绒拦截日志

火绒拦截日志

广告弹窗,如下图所示:

全屏广告弹窗

全屏广告弹窗

右下角广告弹窗

右下角广告弹窗

广告推广配置,如下图所示:

广告推广配置

广告推广配置

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

前言

日前,火绒安全团队发出警报,火绒工程师截获下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后,将盗取steam账号,同时劫持用户QQ临时登录权限,强行添加QQ好友、转发空间,散播违法信息。

一、概述

通过技术溯源发现,该病毒带有”北京方正阿帕比技术有限公司”(北大方正子公司)的数字签名:”Beijing Founder Apabi Technology Limited” ,以躲避安全软件的拦截查杀,疑似为签名泄露被黑客团伙利用,建议该公司尽快排查。

二、样本分析

近期,火绒截获到病毒文件带有”Beijing Founder Apabi Technology Limited”签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

病毒数字签名

病毒数字签名

病毒数字签名

病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

进程树状态

盗取steam账号

病毒会不断搜索steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑,如下图所示:

相关代码逻辑

被注入的恶意代码(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取用户登录信息。如下图所示:

循环检测SteamUI.dll

比较控件名称相关代码,如下图所示:

比较控件

恶意代码相关数据,如下图所示:

恶意代码相关数据

强行QQ好友推广

该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

强行添加QQ好友

强行转发QQ空间日志相关代码,如下图所示:

强行转发QQ空间日志相关代码

三、附录

样本SHA256:

样本SHA256

*本文作者:火绒安全,转载请注明来自FreeBuf.COM