近期,火绒平安实验室拦挡到一批携带病毒的“小马激活工具”。病毒启动后会从近程服务器上下载歹意配置信息,并执行静默装置软件的歹意行为。推广的软件包含“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其余歹意配置的可能。火绒安全软件可查杀该病毒;【软件装置拦挡】性能可拦挡被推广的软件。
被推广的软件
病毒查杀图
通过百度搜寻“激活工具”发现,排名靠前的三条搜寻后果都在流传该病毒,这阐明病毒作者妄图通过购买百度竞价排名的办法大范畴流传病毒。
百度搜寻后果
进一步溯源该激活工具的网址 hxxp://wd9.hmd888.top,发现该域名属于“桂林市木兮网络科技有限公司”,该公司的网站备案信息,如下图所示:
该公司网站备案信息
详细分析
病毒启动后会从近程服务器上下载歹意配置信息,并执行对应的歹意行为,如:下载、执行任意文件,后盾静默装置软件等。病毒的执行流程,如下图所示:
Setup_Activator.exe 是初始化模块,该模块是个 Autoit 脚本编译的,并应用混同伎俩来规避杀毒软件查杀。相干代码,如下图所示:
被混同的代码
将其去混同后,发现该模块会开释、执行原始的激活工具和 kmsactivation.exe 歹意模块,并创立工作打算进行长久化。开释激活工具和歹意模块。相干代码,如下图所示:
开释激活工具和歹意模块代码
为歹意模块创立工作打算进行长久化,每次开机的时候都会启动。相干代码,如下图所示:
创立打算工作进行长久化
依据零碎版本来执行不同的激活工具。相干代码,如下图所示:
依据零碎版本的不同执行不同的激活工具
在 kmsactivation.exe 模块中,首先从 hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt 获取歹意配置信息,再依据歹意配置信息来执行特定的歹意行为,如:下载、执行任意文件,后盾静默装置软件等。相干歹意配置信息,如下图所示:
歹意配置信息
依据歹意配置信息下载、执行任意文件。相干代码,如下图所示:
依据歹意配置信息下载、执行任意文件
该模块还会过滤指定城市,对指定城市以外的中央,额定装置一些软件(腾讯电脑管家),获取用户以后所在城市。相干代码,如下图所示:
过滤用户所在城市
依据歹意配置信息,后盾静默推广软件,并对指定城市以外的中央,额定装置一些软件(腾讯电脑管家)。相干代码,如下图所示:
后盾静默推广软件
附录
C&C 服务器列表:
病毒 HASH: