mpyit.com

感染量数万,流氓软件传播病毒,下载站仍是主要推广渠道

2022.04.19 5:00:01   浏览:2135   7
首页 > 看点 |若内容显示不正常,请关闭广告过滤插件即可
RSS

近期,火绒安全实验室根据用户反馈,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,目前感染量达数万台。该病毒被植入终端后,会通过下载执行恶意驱动模块的方式,向用户实施捆绑安装、广告弹窗等恶意行为,严重威胁用户的信息安全。值得注意的是,该病毒仍在持续更新中,不排除后续下发新的恶意模块,添加新的恶意功能。目前,火绒安全软件已对该病毒进行拦截查杀。

火绒查杀图

21压缩下载界面

火绒安全实验室分析溯源发现,该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后,病毒会通过C&C服务器接收并执行病毒作者下发的各类指令,包括下载恶意模块,搜集用户访问的web站点信息,甚至具备恶意代理功能,可控制用户电脑作为流量跳板,使用户电脑成为黑客的代理服务器。同时,会在后台静默安装大量软件,造成电脑卡顿,还会定期弹出广告窗口。病毒恶意行为执行流程图,如下图所示:

今年315晚会,央视曝光了下载站的诸多乱象,如强制弹出、捆绑安装、诱骗下载等。火绒安全实验室近年来也在持续对下载站乱象进行关注,并曾多次曝光过病毒借助下载站传播的事件,由此可见下载站也已经成为病毒的主要传播渠道。

对此,火绒安全再次提醒广大用户,下载软件请通过官方网站;如必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒官方论坛求助,确保文件、程序安全后再运行,以免遭遇风险。

详细分析

“拉法日历”主程序

“拉法日历”主程序名为LFCalendar.exe,但其本身不具有日历相关软件功能,主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件,之后为恶意驱动创建启动项。相关代码,如下图所示:

获取驱动文件

创建恶意驱动启动项,相关代码,如下图所示:

创建恶意驱动启动项

恶意驱动主模块

udwnapi.sys为恶意驱动主模块,根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类,针对不同的受害者下发不同的恶意配置信息。

从C&C服务器获取恶意配置信息,相关代码,如下图所示:

从C&C服务器获取恶意配置信息

接收到的恶意配置信息,如下图所示:

接收到的恶意配置信息

根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块。相关代码,如下图所示:

根据C&C服务器下发的配置信息下载执行其他恶意驱动模块

内存映射执行恶意驱动模块。相关代码,如下图所示:

内存映射恶意驱动模块

恶意驱动过滤模块

该病毒会通过网络过滤驱动收集受害者访问的网址信息,当驱动检测到用户访问特定的站点时,即会弹出广告网页,被检测的网址包括:http://www.baidu.com

等。该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由 C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中,导致中毒用户的信息安全可能会受到不同程度侵害。

由C&C服务器判断是否弹出广告(pop.sys)

记录受害者访问的web网址,相关代码,如下图所示:

记录受害者访问的web网址

将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中。相关代码,如下图所示:

向C&C服务器发访问网址数据

本地判断是否弹出广告(homepop.sys)

C&C服务器下发的本地网址过滤规则,如下图所示:

C&C服务器下发的的本地网址过滤规则

当网络过滤驱动检测到访问特定的网址时,将相关信息插入等待列表中,相关代码,如下图所示:

检测受害者访问特定的网址

弹出广告网页(ExpFc64.dll)

推广模块会获取等待列表,并弹出广告。相关代码,如下图所示:

弹出广告网页代码

火绒剑检测到的行为信息,如下图所示:

火绒剑检测到的行为信息

恶意驱动代理模块

proxy.sys驱动代理模块,会使受害者终端成为黑客的代理服务器资源,来转发C&C服务器下发的的网络请求。恶意代理功能执行流程,如下图所示:

恶意代理功能执行流程

转发逻辑代码,如下图所示:

转发逻辑代码

恶意推广模块

ExpFc.dll作为恶意推广模块,具有多种恶意推广手段,如:后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为,以提高相关病毒模块的隐蔽性。

注入Explorer

恶意驱动dll.sys通过HOOKTranslateMessage函数来执行Shellcode,相关代码,如下图所示:

HOOK TranslateMessage函数

Shellcode会将恶意推广模块内存映射进Explorer进程内存中,相关代码,如下图所示:

Shellcode代码

恶意推广行为

弹出广告网页相关代码,如下图所示:

弹出广告网页

后台静默安装推广软件,相关代码,如下图所示:

后台静默安装推广软件

火绒拦截到的软件安装行为,如下图所示:

火绒拦截到的软件安装行为

弹出广告窗口,相关代码,如下图所示:

弹出广告窗口代码

一、溯源分析

火绒工程师通过对“拉法日历“进行溯源分析,发现该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,该安装包的数字签名是上海九罗网络科技有限公司,相关信息,如下图所示

拉法日历数字签名

对上海九罗网络科技有限公司进行溯源,产权信息,如下图所示:

上海九罗网络科技有限公司产权信息

在分析过程中,火绒工程师发现21压缩软件会推广此病毒程序,21压缩数字签名如下图所示:

21压缩数字签名

对重庆智领云英教育科技有限公司进行溯源,确认21压缩为该公司所开发软件,产权信息,如下图所示:

重庆智领云英教育科技有限公司产权信息

对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播,虽然推广21压缩的高速下载器已经全部下架,但第三方下载站还存在大量21压缩相关软件。百度搜索“21压缩”,可以看到不同下载站关于21压缩的软件下载链接。相关信息,如下图所示:

百度搜索结果

二、附录

C&C服务器:

SHA256:

来源:www.huorong.cn/info/1650272719784.html

相关推荐

发表评论

目前有 7 条留言    访客:0 条, 博主:0 条

  1. vo 116.30.7.122 Win10+ Firefox 99.0
    怕是那两家公司法人身份证都是买的。
    2022年04月19日 下午6:06  @回复  Δ-9楼
  2. Y 2408:8234:c14:2c42:9cd2:47e0:8028:5122 Win10+ Firefox 99.0
    以前病毒就是病毒。现在虽然没有曾经那种了,但全都做成了辣鸡软件,而且比较集中在了日历、解压缩、PDF阅读、桌面、看图、等这几个类型。315端了下载器的窝,只能好一阵子,过几天估计又变着样的回来了。
    2022年04月19日 下午2:27  @回复  Δ-8楼
    • 武藤 1.1.1.1 Win10+ Chrome 86.0.4240.198
      2345、快压 都是靠这种模式传播开的,比当年的360流氓多了。
      2022年04月19日 下午3:20  @回复  ∇地下1层
  3. 阿萨德 39.171.241.223 Win10+ Chrome 86.0.4240.198
    这么多杀毒软件只有火绒检测出来并报导,其他家国产的杀毒软件是不是在收钱?
    2022年04月19日 上午8:57  @回复  Δ-7楼
    • 武藤 1.1.1.1 Win10+ Chrome 86.0.4240.198
      外国的不报道,国产的都忙着圈钱。
      2022年04月19日 上午9:01  @回复  ∇地下1层
    • lemoke 111.41.154.22 Win10+ Firefox 99.0
      有没有一种可能是,别的厂家也报道类似事件但是你没看见就等于没有呢?如果你说的是该事件别的厂家为什么不报道的话,那为什么别的厂家报道别的类似事件的时候你却不说火绒怎么不报道呢?
      2022年04月19日 上午9:27  @回复  ∇地下1层
      • dapie 219.238.47.134 Win10+ Chrome 96.0.4664.45
        说话要有根据,我刚去查看了,除了火绒,至少360是没播报这个事,可能人家觉得这种小病毒不值一提;顺便提一句,这两家的论坛都有安全播报的板块,对比下看看里边的内容就知道谁在认真做事,谁在划水
        2022年04月19日 上午10:29  @回复  ∇地下2层