近期,火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒;【软件安装拦截】功能可拦截被推广的软件。
![图片[1]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/095949pchhm0nnp2ph0hrp.png)
被推广的软件
![图片[2]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100001q04qqz9wp08qrlkk.png)
病毒查杀图
通过百度搜索“激活工具”发现,排名靠前的三条搜索结果都在传播该病毒,这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。
![图片[3]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100059tissqi0nm0nkdkcn.png)
百度搜索结果
进一步溯源该激活工具的网址hxxp://wd9.hmd888.top,发现该域名属于“桂林市木兮网络科技有限公司”,该公司的网站备案信息,如下图所示:
![图片[4]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100114hmie6r9i6avllujr.png)
该公司网站备案信息
详细分析
病毒启动后会从远程服务器上下载恶意配置信息,并执行对应的恶意行为,如:下载、执行任意文件,后台静默安装软件等。病毒的执行流程,如下图所示:
![图片[5]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100128rbkhdbmcbcc999dd.png)
病毒的执行流程
Setup_Activator.exe是初始化模块,该模块是个Autoit脚本编译的,并使用混淆手段来躲避杀毒软件查杀。相关代码,如下图所示:
![图片[6]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100143jddd3ddod3o2kxdk.png)
被混淆的代码
将其去混淆后,发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块,并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码,如下图所示:
![图片[7]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/100157kxinwdw1hio1wur9.png)
释放激活工具和恶意模块代码为恶意模块
创建任务计划进行持久化,每次开机的时候都会启动。相关代码,如下图所示:
![图片[8]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101143k7fzwy9ckkhqh7wq.png)
创建计划任务进行持久化
根据系统版本来执行不同的激活工具。相关代码,如下图所示:
![图片[9]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101159bi85q01a488seb4q.png)
根据系统版本的不同执行不同的激活工具
在kmsactivation.exe 模块中,首先从hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt 获取恶意配置信息,再根据恶意配置信息来执行特定的恶意行为,如:下载、执行任意文件,后台静默安装软件等。相关恶意配置信息,如下图所示:
![图片[10]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101214ek94mjrgg8zsp8k7.png)
恶意配置信息
根据恶意配置信息下载、执行任意文件。相关代码,如下图所示:
![图片[11]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101227d9i7i3xhpswizm3w.png)
根据恶意配置信息下载、执行任意文件
该模块还会过滤指定城市,对指定城市以外的地方,额外安装一些软件(腾讯电脑管家),获取用户当前所在城市。相关代码,如下图所示:
![图片[12]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101243a2s20sg7v8ybw4ib.png)
过滤用户所在城市
根据恶意配置信息,后台静默推广软件,并对指定城市以外的地方,额外安装一些软件(腾讯电脑管家)。相关代码,如下图所示:
![图片[13]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101259dy44cnepi4aap757.png)
后台静默推广软件
附录
C&C服务器列表:
![图片[14]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101312ug1ttgdljtductld.png)
病毒HASH:
![图片[15]-激活工具带毒,静默安装360、2345系列软件-栗子博客](https://www.lizi.tw/wp-content/uploads/2022/10/101328s7wpprfrxsiidjzx.png)
© 版权声明
内容来源于网络或本站原创,如有任何问题请联系站长
THE END
暂无评论内容