Categories
科技報導

火絨安全:2345旗下下載站正在傳播木馬程序



近日,火絨工程師發現2345旗下“多特下載站”的下載器(高速下載)正在實施傳播木馬程序的惡意行為。用戶下載運行該下載器後,會立即被靜默植入一款名為“commander”的木馬程序,該木馬程序會在後台運行,並根據云控配置推送彈窗廣告和流氓軟件。

即使用戶關閉下載器,“commander”仍然會一直駐留用戶系統。同時,該下載器還會釋放病毒劫持用戶瀏覽器首頁,用以推廣廣告程序。

目前,火絨安全軟件最新版已對該下載器與“commander”軟件相關惡意與流氓模塊進行攔截查殺。

火絨安全:2345旗下下載站正在傳播木馬程序 1

火絨工程師對木馬程序“commander”進行分析後發現,該程序會在用戶不知情下被靜默安裝至電腦中,並在開始菜單、桌面等位置均沒有創建相關的啟動快捷方式,導致用戶難以發現該軟件的存在;同時,其廣告推廣模塊會在後台偷偷運行,不停的進行廣告推送、靜默推廣其它軟件,嚴重影響了用戶正常使用電腦。為了躲避安全軟件的查殺,該木馬程序還會主動檢測用戶電腦中是否安裝安全軟件和工具。

截至目前,被“commander”木馬程序靜默推廣的軟件共有9款,包括趣壓、拷貝兔、小白看圖等,且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。

2.png

事實上,木馬程序、流氓軟件與類似“多特”這樣的下載站之間早已形成了一條完整的黑色產業鏈:下載站通過木馬程序、病毒,來靜默推廣流氓軟件,以此獲取軟件廠商提供的利益;流氓軟件被傳播到用戶電腦後,也會實施捆綁、彈窗等惡意推廣其它軟件的行為,從中獲取利潤。一旦用戶下載此類下載器或流氓軟件,就會陷入“瘋狂”的被靜默安裝與推廣的陷阱中。

在此,火絨工程師提醒廣大用戶,一定要通過官網等正規渠道下載軟件,謹慎使用下載站等第三方下載器下載軟件,必要時可先使用可靠的安全軟件對其進行掃描後再使用。同時,我們呼籲廣大下載站,尊重用戶權益,合理逐利,對於任何侵犯用戶權益的流氓、病毒軟件以及下載器,火絨都會及時進行攔截查殺。

附:【分析報告】

一、詳細分析

一直以來,下載站都是眾多流氓軟件的主要傳播渠道之一。本次火絨發現的木馬程序commander,就是通過多特下載站的下載器進行靜默推廣。只要用戶在未安裝安全軟件(如火絨、360、金山等)的環境中運行多特下載器,就會靜默下載安裝commander木馬程序。除此之外,多特下載站下載器還會下載釋放鎖首木馬和廣告推廣程序,並且檢測安全軟件躲避安全查殺。綜上所述惡意行為,多特下載站下載器已經滿足了火絨對病毒的定義。多特下載站頁面,如下圖所示:

3.png

多特下載站頁面

多特下載器惡意行為

多特下載器運行之後會根據它的雲端配置規避殺軟並進行軟件靜默推廣

規避殺軟程序的相關配置信息如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 2

規避的殺軟程序

下圖中紅框標註部分為木馬程序commander相關推廣信息(commander相關惡意行為將在下一章節進行分析)。靜默推廣軟件的相關配置信息,如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 3

推廣軟件的相關配置信息

靜默推廣軟件的相關代碼,如下圖所示:

6.png

靜默推廣軟件相關代碼

多特下載器除了靜默推廣軟件之外,還會根據其配置下載具有瀏覽器鎖首及添加瀏覽器書籤功能的流氓程序DTPageSet.exe,此程序雖然能正常下載到用戶電腦之中,但是後續的代碼執行功能並未放開,不排除將來運行此程序的可能性。下載DTPageSet.exe相關配置信息如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 4

DTPageSet.exe相關配置信息

下載運行DTPageSet.exe相關代碼如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 5

下載運行DTPageSet.exe

受影響的瀏覽器如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 6

受影響的瀏覽器

DTPageSet.exe主要通過修改註冊表,修改瀏覽器配置文件,修改瀏覽器快捷方式參數的方式來鎖定瀏覽器首頁。

以QQ瀏覽器為例,DTPageSet.exe修改註冊表來鎖定瀏覽器主頁的相關代碼和現像如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 7

修改QQ瀏覽器註冊表

11.png

修改後的註冊表及瀏覽器首頁被鎖定

以搜狗瀏覽器為例,DTPageSet.exe修改瀏覽器配置文件來鎖定瀏覽器主頁的相關代碼和現像如下圖所示:

12.png

修改瀏覽器配置文件相關代碼

13.png

修改後的瀏覽器配置及瀏覽器首頁被鎖定

以360安全瀏覽器為例,DTPageSet.exe修改瀏覽器快捷方式參數來鎖定瀏覽器主頁的相關代碼和現像如下圖所示:

14.png

修改瀏覽器快捷方式參數

15.png

修改後的瀏覽器快捷方式參數及瀏覽器首頁被鎖定

DTPageSet.exe除了上述鎖定瀏覽器首頁行為外,還會將雲端下放的書籤配置添加到瀏覽器之中,添加瀏覽器書籤相關配置信息如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 8

瀏覽器書籤相關配置

下面以360安全瀏覽器為例,添加瀏覽器書籤相關代碼及現像如下圖所示:

17.png

創建並寫入書籤相關代碼

18.png

瀏覽器中被插入的書籤

commander分析

如前文所述,多特下載站下載器會靜默推廣木馬程序commander。 commander軟件被下載器靜默推廣安裝到%APPDATA%commander文件夾下,中間過程無任何提示。且在開始菜單、桌面和任務欄上都沒有軟件功能的入口,用戶根本無法察覺到軟件的安裝。該軟件在安裝後會下載執行多個廣告彈窗模塊進行廣告推廣,並且會下載執行靜默推廣模塊,推廣軟件。

Commander在安裝後,會將Services.exe模塊註冊為服務,開機自啟。 Services模塊會定時(每30分鐘一次)啟動commandtools.exe。 commandtools.exe模塊會從服務器地址(hxxp://i.zzb6.cn/api/data/get)下載到加密的配置文件config.dll,並根據配置下載執行廣告彈窗和軟件推廣模塊。配置文件,如下圖所示:

19.png

配置文件

commandtools.exe模塊會對配置文件中block字段中的所有彈窗和推廣模塊進行遍歷下載執行。每個模塊在下載之前,可以根據配置文件設置一些下載條件,比如檢測環境,過濾進程等。下載執行代碼,如下圖所示:

20.png

遍歷下載執行模塊

在目前的配置中,下發的廣告彈窗程序有多個,但只有兩種,從服務器下載的路徑上看,應該為同一程序的不同版本,差別不大。該廣告彈窗模塊會頻繁彈出,且窗口多樣。廣告彈窗現象,如下圖所示:

21.png

廣告彈窗圖

appupdui.exe在運行時會根據配置通過枚舉進程名的方式對系統中的軟件環境進行檢測,除此之外還會檢測當前IP所在城市,被檢測的城市包括:北京、上海、廣州、珠海、杭州、西安、馬鞍山、蘇州、武漢、天津、合肥。被檢測的進程,如下圖所示:

火絨安全:2345旗下下載站正在傳播木馬程序 9

檢測的環境

檢測城市和軟件環境相關代碼,如下圖所示:

23.png

環境檢測和城市檢測代碼

通過遍歷進程的方式檢測軟件環境,相關代碼如下圖所示:

24.png

進程檢測代碼

appupdui.exe模塊會根據config.dll配置中的ads軟件ID列表進行靜默下載安裝流氓軟件。 ads列表中的軟件ID號與config.dll中的[Exe]部分的推廣軟件相關配置一一對應,如Exe_783與軟件助手相關配置對應。相關配置,如下圖所示:

25.png

靜默推廣相關配置

根據配置文件中的下載地址靜默下載執行安裝包程序,相關代碼如下圖所示:

26.png

根據config.dll中的配置靜默下載執行軟件安裝包

經過分析我們發現,被commander靜默推廣的軟件(小白看圖、趣壓、拷貝兔等),與commander係為同一作者編寫,且安裝後都帶有與commandtools.exe相同的惡意功能模塊。在這些被推廣的軟件config.dll配置中,暫未發現下載appupdui.exe的相關配置,但不排除將來下發其他惡意功能模塊的可能性。相關代碼同源性對比圖,如下圖所示:

27.png

代碼同源性對比圖

二、附錄

樣本hash

火絨安全:2345旗下下載站正在傳播木馬程序 10