乐趣区

关于工具软件:激活工具带毒静默安装3602345系列软件

近期,火绒平安实验室拦挡到一批携带病毒的“小马激活工具”。病毒启动后会从近程服务器上下载歹意配置信息,并执行静默装置软件的歹意行为。推广的软件包含“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其余歹意配置的可能。火绒安全软件可查杀该病毒;【软件装置拦挡】性能可拦挡被推广的软件。

被推广的软件

病毒查杀图

通过百度搜寻“激活工具”发现,排名靠前的三条搜寻后果都在流传该病毒,这阐明病毒作者妄图通过购买百度竞价排名的办法大范畴流传病毒。

百度搜寻后果

进一步溯源该激活工具的网址 hxxp://wd9.hmd888.top,发现该域名属于“桂林市木兮网络科技有限公司”,该公司的网站备案信息,如下图所示:

该公司网站备案信息

详细分析

病毒启动后会从近程服务器上下载歹意配置信息,并执行对应的歹意行为,如:下载、执行任意文件,后盾静默装置软件等。病毒的执行流程,如下图所示:

Setup_Activator.exe 是初始化模块,该模块是个 Autoit 脚本编译的,并应用混同伎俩来规避杀毒软件查杀。相干代码,如下图所示:

被混同的代码

将其去混同后,发现该模块会开释、执行原始的激活工具和 kmsactivation.exe 歹意模块,并创立工作打算进行长久化。开释激活工具和歹意模块。相干代码,如下图所示:

开释激活工具和歹意模块代码

为歹意模块创立工作打算进行长久化,每次开机的时候都会启动。相干代码,如下图所示:

创立打算工作进行长久化

依据零碎版本来执行不同的激活工具。相干代码,如下图所示:

依据零碎版本的不同执行不同的激活工具

在 kmsactivation.exe 模块中,首先从 hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt 获取歹意配置信息,再依据歹意配置信息来执行特定的歹意行为,如:下载、执行任意文件,后盾静默装置软件等。相干歹意配置信息,如下图所示:

歹意配置信息

依据歹意配置信息下载、执行任意文件。相干代码,如下图所示:

依据歹意配置信息下载、执行任意文件

该模块还会过滤指定城市,对指定城市以外的中央,额定装置一些软件(腾讯电脑管家),获取用户以后所在城市。相干代码,如下图所示:

过滤用户所在城市

依据歹意配置信息,后盾静默推广软件,并对指定城市以外的中央,额定装置一些软件(腾讯电脑管家)。相干代码,如下图所示:

后盾静默推广软件

附录

C&C 服务器列表:

病毒 HASH:

退出移动版