从流氓推广到公然投毒 流氓软件完成黑化

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

本帖最后由 火绒安全实验室 于 2020-7-22 21:46 编辑

【快讯】近日，火绒安全团队溯源到一批名为快捷锁屏、极速搜索等流氓软件携带有恶意程序，正通过下载器渠道进行大范围传播。虽然这些软件带有较为简单的正常功能，但其主要目的就是通过暗刷指定网站的关键字搜索排名、劫持流量等恶意行为获取利益，行为几乎与病毒无异。据“火绒威胁情报系统”监测和评估，目前，该恶意程序日均感染数十万台电脑。 火绒用户无需担心，火绒安全软件最新版已对该恶意程序进行拦截查杀；您也可以开启火绒的“下载器拦截”功能，以规避其它安全风险。

Image-4.png (29.51 KB, 下载次数: 3)

下载附件

2020-7-22 21:31 上传

根据火绒工程师分析，上述软件运行后，在开始菜单、桌面等位置均没有创建相关的快捷方式，导致用户难以发现软件的存在，并且会在后台暗刷指定网站的关键字搜索排名、浏览器插件静默推广、劫持流量，从而利用用户电脑谋取利益。另外，该恶意程序还包含有后门模块，因此不排除其随时通过云控下发其它病毒模块到用户本地执行的可能性。 流氓推广的灰色行为早已成为软件行业屡见不鲜的现象，然而更加过分的是，甚至有流氓软件已完全病毒化，他们为了攫取更多的利益，直接向用户投放各类病毒，这种明目张胆的侵犯用户权益的恶意行为和盈利模式，标志着广告推广的“流量生意”已经完全成为黑产。最后，火绒除了及时拦截和查杀外，还会持续关注和曝光此类病毒软件及其行为，帮助用户避免陷入风险。


附：【分析报告】

一、 详细分析

近期，火绒发现一批恶意程序正在通过下载器渠道进行大范围传播，此类恶意程序通常将自身伪装成带有“简单”功能“的正常软件”（如：快捷锁屏、极速搜索）。在恶意程序被植入后，在开始菜单、桌面等位置均没有创建相关的启动快捷方式，导致用户难以发现该软件的存在。该恶意程序会主动规避大型省会城市（如：北京、上海、深圳、珠海、广州等）、安全软件（如：火绒、360、腾讯电脑管家等）和安全分析工具。一旦进入用户电脑，就会通过暗刷指定网站的关键字搜索排名、静默推广流氓浏览器插件等方式，不断利用用户电脑牟取利益，使用户电脑沦为帮助黑客牟利的“肉鸡”。相关恶意程序运行流程，如下图所示：

Image-5.png (32.44 KB, 下载次数: 0)

下载附件

2020-7-22 21:31 上传

恶意模块执行流程

我们以快捷锁屏为例进行分析，快捷锁屏被推广时会在命令行中传入静默安装参数-p。快捷锁屏被下载器静默推广相关配置，如下图所示：

Image-6.png (22.18 KB, 下载次数: 1)

下载附件

2020-7-22 21:31 上传

快捷锁屏被下载器推广相关配置

首先，快捷锁屏主程序ScreenSaver.exe会将广告程序拷贝到%AppData%\SSLocal目录下逐个执行。SSLocal目录下的广告程序，如下图所示：

Image-7.png (38.94 KB, 下载次数: 1)

下载附件

2020-7-22 21:31 上传

SSLocal目录下的广告程序

之后，向远程服务器请求云控配置hxxp://screen.ddLives.com/screen/lock.ini，根据云控配置内容下载执行恶意程序blueberry.exe(使用IE内核)和TsvmService.exe(使用Chrome内核)，暗刷指定网站的关键字搜索排名。相关云控配置，如下图所示：

Image-8.png (62.88 KB, 下载次数: 1)

下载附件

2020-7-22 21:31 上传

相关云控配置

根据云控配置，恶意代码会主动规避一些大型省会城市和一些安全相关的软件及工具，其目的主要为躲避安全软件查杀和躲避安全分析人员对其进行逆向分析。被规避的软件进程名，如下图所示：

Image-9.png (43.61 KB, 下载次数: 1)

下载附件

2020-7-22 21:31 上传

被规避的软件进程名

相关代码，如下图所示：

Image-10.png (95.26 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

执行后台暗刷恶意程序相关代码

在进行后台暗刷时，screensaver会根据云控配置中newold_sw字段的值调用blueberry.exe(newold_sw=0)或TsvmService.exe(newold_sw=1)进行后台暗刷，文中我们仅以blueberry.exe为例。相关调用代码，如下图所示：

Image-11.png (166.36 KB, 下载次数: 2)

下载附件

2020-7-22 21:32 上传

调用后台暗刷恶意推广相关逻辑

当newold_sw=1时，则会下载执行TsvmService.exe进行后台暗刷。TsvmService.exe程序分为三个部分，每部分单独被压缩在一个7z压缩包中，在恶意代码解压相关组件模块后，会对可执行程序进行异或解密。相关代码，如下图所示：

Image-12.png (52.77 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

执行TsvmService.exe相关代码

除此之外，恶意程序还会通过云控配置下载执行其它恶意程序（如：sbbat_scre.exe）。sbbat_scre.exe执行后会静默安装流氓浏览器插件，详细分析见下文。相关代码，如下图所示：

Image-13.png (79.81 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

释放广告程序及下载执行其它恶意模块相关代码

BlueBerry模块

该模块会根据云控配置，创建一个隐藏窗口暗刷指定网站的关键字搜索排名。相关现象，如下图所示：

Image-14.png (168.65 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

隐藏窗口刷取搜索关键字

该模块会向云端（hxxp://plum.70gj.cn/plumzhang?sc=）请求配置文件，且每次请求到的云控配置都不相同。配置中不仅包括了要刷取的搜索关键字，页面操作等信息，还包括规避的城市、杀软和分析环境信息。相关配置，如下图所示：

Image-15.png (184.52 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

刷取搜索的配置文件

相关代码，如下图所示：

Image-16.png (122.03 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

检测杀软、分析环境和地区

sbbat_scre模块

sbbat_scre.exe模块首先会检测系统中是否存在火绒、360、金山毒霸和腾讯电脑管家相关进程，然后从自身资源中解密出浏览器插件并复制到对应浏览器插件目录下。受影响的安全软件及浏览器信息如下图所示：

Image-17.png (27.31 KB, 下载次数: 2)

下载附件

2020-7-22 21:32 上传

受影响的安全软件信息

Image-18.png (15.69 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

受影响的浏览器

检测电脑杀软信息相关代码如下图所示：

Image-19.png (398.43 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

检测电脑杀软信息

当电脑中存在360安全浏览器时，恶意模块会将名为“领券吧”的浏览器插件从资源中解密出来并复制到360安全浏览器的插件目录下并结束相关进程。相关代码如下图所示：

Image-20.png (227.54 KB, 下载次数: 0)

下载附件

2020-7-22 21:32 上传

释放插件到360安全浏览器目录下

当电脑中存在QQ浏览器、搜狗浏览器、2345浏览器、UC浏览器时，恶意模块会将名为“护眼模式”的浏览器插件从资源中解密出来并复制到上述浏览器的插件目录下并结束相关进程。相关代码如下图所示：

Image-21.png (182.93 KB, 下载次数: 0)

下载附件

2020-7-22 21:32 上传

释放插件到其它浏览器目录下

下面以360安全浏览器及QQ浏览器为例，被此恶意模块加载插件后的现象如下图所示：

Image-22.png (172.38 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

相关浏览器被恶意加载插件

以上两个浏览器插件的功能均为推广优惠券获利，除此以外，还在sbbat_scre.exe资源中发现另外一款名为“时钟提醒”的恶意浏览器插件。该插件会劫持搜索推广计费名，并可以通过云端配置文件对其它链接进行劫持。相关现象，如下图所示：

Image-23.png (81.61 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

劫持推广计费名

部分云端配置，如下图所示：

Image-24.png (304.21 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

部分云端配置

相关代码，如下图所示：

Image-25.png (76.52 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

请求并解密劫持配置

Image-26.png (148.06 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

根据劫持配置获得劫持链接

Image-27.png (83.81 KB, 下载次数: 1)

下载附件

2020-7-22 21:32 上传

劫持推广计费号

二、 附录
样本hash

Image-28.png (84.59 KB, 下载次数: 3)

下载附件

2020-7-22 21:32 上传

 

免费评分 参与人数 292吾爱币 +251 热心值 +258 理由

aNormal   + 1   + 1   谢谢@Thanks！  

山羊山影   + 1   + 1   谢谢@Thanks！  

13917763240   + 1   + 1   热心回复！  

stal1ker   + 1   + 1   鼓励转贴优秀软件安全工具和文档！  

11846607   + 1   + 1   谢谢@Thanks！  

君逆何尘故   + 1   + 1   热心回复！  

成墨     + 1   我很赞同！  

三百六十五甜     + 1   用心讨论，共获提升！  

zht7758521     + 1   谢谢@Thanks！  

NiGhT_Ray   + 1   + 1   我很赞同！  

louchen1994   + 1   + 1   我很赞同！  

18868195147   + 1   + 1   我很赞同！  

Tanyongfeng   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

SugerJun   + 1   + 1   我很赞同！  

crazycannon   + 1   + 1   谢谢@Thanks！  

zoroman   + 1   + 1   热心回复！  

GoodMrZhangJie   + 1   + 1   用心讨论，共获提升！  

hellozhanghe   + 1   + 1   热心回复！  

一只康娜酱   + 1   + 1   用心讨论，共获提升！  

卡卡loveTS   + 1   + 1   用心讨论，共获提升！  

_ever_     + 1   热心回复！  

烧饼馒头包子   + 1   + 1   我很赞同！  

clite   + 1   + 1   谢谢@Thanks！  

太吾太吾     + 1   谢谢@Thanks！  

大鹏飞飞   + 1   + 1   我很赞同！  

lihaiyangya   + 1     我很赞同！  

fvtr784   + 1   + 1   谢谢@Thanks！  

zuoxiaorong     + 1   我很赞同！  

yx69   + 1   + 1   我很赞同！  

别时容易     + 1   热心回复！  

18807582766   + 1   + 1   我很赞同！  

忲過惗輕.⑨σ後     + 1   用心讨论，共获提升！  

李成鑫   + 1   + 1   已经封号，感谢您对吾爱破解论坛的支持！  

ashura_x   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

WamgYamg   + 1   + 1   正道的光  

cnahbb   + 1   + 1   谢谢@Thanks！  

volcanocan   + 1   + 1   用心讨论，共获提升！  

AshLikeSnow   + 2   + 1   希望火绒团队能把这些项目列入黑名单并协助用户拦截解除这种烦恼  

mj2013ly   + 1     谢谢@Thanks！  

达云兮   + 1   + 1   谢谢@Thanks！  

she3640   + 1   + 1   谢谢@Thanks！  

丈夫   + 1   + 1   感谢发布原创作品，吾爱破解论坛因你更精彩！  

Creator68   + 1   + 1   火绒牛逼！  

doocool   + 1   + 1   我很赞同！  

腾旭   + 1   + 1   用心讨论，共获提升！  

Moriarty_Jim   + 1   + 1   火绒强的一批  

wodeweiyimpm     + 1   广告拦截能不能直接禁止他启动  

KTN德邦   + 1   + 1   谢谢@Thanks！  

慕白丶L   + 1   + 1   我很赞同！  

smilewow     + 1   我很赞同！  

大头寀   + 1   + 1   谢谢@Thanks！  

yosi2009   + 1   + 1   我很赞同！  

Maise   + 1     我很赞同！  

nihao7758   + 1   + 1   火绒的广告拦截也超好用~~  

Byxiaowei   + 1   + 1   火绒牛批!!!!  

guo798292015   + 1   + 1   我很赞同！  

joywaywo   + 1     谢谢@Thanks！  

豆豆小曼曼   + 1   + 1   谢谢@Thanks！  

vmu   + 1   + 1   我很赞同！  

luzhiyao   + 2     火绒牛逼！  

zycwapj   + 1   + 1   我很赞同！  

genry   + 1     我很赞同！  

azio5566   + 1     谢谢@Thanks！  

何振良   + 1   + 1   我很赞同！  

saradahentai     + 1   我很赞同！  

J12138   + 1   + 1   选火绒，就对了！  

E166ER   + 1   + 1   热心回复！  

pandore   + 1   + 1   谢谢@Thanks！  

Polar!S   + 1   + 1   我很赞同！  

xb0wxh   + 1   + 1   谢谢@Thanks！  

luofengdi   + 1   + 1   支持我用的火绒!!!!!!!!!!!!!!!!!!!!!!!!!!!  

Wuchen_无尘   + 1   + 1   热心回复！  

kingzsw   + 1     鼓励转贴优秀软件安全工具和文档！  

窝来了   + 1   + 1   谢谢@Thanks！  

iZM666   + 1   + 1   我很赞同！  

Carpenter1990   + 1   + 1   感谢发布原创作品，吾爱破解论坛因你更精彩！  

hxdgkd   + 1   + 1   热心回复！  

ypadan   + 1   + 1   谢谢@Thanks！  

szdaijun   + 1   + 1   感谢火绒  

YiXinPlay   + 1     热心回复！  

宿命下的对白   + 1   + 1   我很赞同！  

ashenones   + 1   + 1   我很赞同！  

z532931406   + 1   + 1   支持火绒，良心软件  

766339123   + 1   + 1   我很赞同！  

Dkkk24     + 1   我很赞同！  

Sacrify   + 1   + 1   用心讨论，共获提升！  

zhishasanlei   + 1   + 1   谢谢@Thanks！  

WinkeyLin   + 1   + 1   我很赞同！  

zxc123Qwe789   + 1   + 1   用心讨论，共获提升！  

dauna   + 1   + 1   我很赞同！  

zjf123456   + 2   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

muzhejianan   + 1     我很赞同！  

丨miss丶星星   + 1   + 1   太强了！  

少年少有为     + 1   我很赞同！  

夏之天狼星   + 1   + 1   谢谢@Thanks！  

Sukha   + 1   + 1   谢谢@Thanks！  

超然台上     + 1   热心回复！  

relaxing     + 1   谢谢@Thanks！  

builder999   + 1   + 1   用心讨论，共获提升！  

Niel   + 1     谢谢@Thanks！  

查看全部评分