後門病毒通過下載站傳播全面劫持各大主流瀏覽器

火絨實驗室發表於2018-06-21

原文網址 : https://juejin.im/post/5b2b4a61f265da5959468e23

一、概述

日前，火絨安全團隊截獲後門病毒"Humpler"。該病毒偽裝成多款小工具（如：老闆鍵、螢幕亮度調節等），正通過2345軟體大全等多個知名下載站進行傳播。病毒入侵電腦後，會劫持QQ、360、搜狗等（市面上所有主流）瀏覽器首頁。並且該後門病毒還在不斷更新惡意程式碼，不排除未來會向使用者電腦派發更具威脅性病毒的可能性。

Humpler病毒偽裝成"老闆鍵"、"螢幕亮度調節"等多款小工具。當使用者在2345軟體大全、非凡、PC6等下載站下載並執行上述小工具後，病毒將侵入電腦。隨即彈出彈窗，詢問是否"願意支援"該軟體，如果使用者選擇"支援"，病毒會立即劫持瀏覽器首頁。但即使使用者選擇拒絕，病毒仍會在一天之後劫持使用者的瀏覽器首頁。也就是說，無論使用者選擇願意與否，被感染電腦瀏覽器首頁都會被劫持。

"火絨安全軟體"最新版即可攔截並查殺該病毒。我們看到這些小工具在下載站中的排名靠前，極易吸引使用者點選下載。建議近期在上述下載站下載過軟體的使用者，儘快使用"火絨安全軟體"對電腦進行查殺。

二、樣本分析

近期，火絨截獲到一批後門病毒樣本，病毒會將自己偽裝成小工具（如：超級老闆鍵、超級變聲器、螢幕亮度調節等），並會通過2345軟體大全、非凡下載站、PC6下載站等多個軟體下載站進行傳播。病毒會通過C&C伺服器獲取最終惡意程式碼，惡意程式碼執行後，表面會詢問使用者是否"願意支援"軟體後進行首頁鎖定。但在第二天使用者再次啟動該程式時，不論使用者是否選擇"願意支援"都會強行劫持瀏覽器首頁。而且為了躲避安全廠商查殺，現階段被下發的病毒模組為PE頭被簡化過的模組資料。截至到目前，被下發的病毒模組資料依然在持續更新，我們不排除病毒將來會下發其他病毒模組的可能性。下載站下載頁面，如下圖所示：

軟體下載頁面我們以超級老闆鍵為例，病毒程式碼執行後會與C&C伺服器（www.baidu-home.com和www.2k2u.com）進行通訊，請求遠端惡意程式碼至本地進行執行。病毒邏輯相關程式碼會夾雜在軟體功能程式碼中，在獨立執行緒中執行病毒邏輯。相關程式碼，如下圖所示：

病毒程式碼位置病毒首先會通過訪問http://www.baidu.com檢測當前的網路狀態，如果無法正常聯網，則不會執行病毒流程。如下圖所示：

檢測當前網路狀態在網路狀態正常的情況下，病毒首先會解密出用於請求遠端惡意程式碼的相關程式碼，並進行執行。如下圖所示：

解密執行程式碼邏輯在上述解密後程式碼執行時，會通過檢查軟體斷點的方式檢測偵錯程式。相關程式碼，如下圖所示：

檢測偵錯程式程式碼解密後的病毒程式碼，首先會訪問C&C伺服器地址（hxxp://www.baidu-home.com/bosskey/checkupdate.txt）獲取惡意程式碼下載地址。最終會通過訪問C&C伺服器（hxxp://www.2k2u.com/plugin/bosskey/bosskeyupdate.dat）獲取到遠端惡意程式碼到記憶體中載入並執行。最終請求到的惡意程式碼，是一個PE頭被精簡過的PE檔案，病毒在獲取到惡意程式碼後會通過虛擬對映的方式將惡意程式碼載入到記憶體中進行執行。之所以通過C&C伺服器下發精簡的PE映象資料，而不是下發完整的PE映象檔案，主要是為了對抗安全廠商的查殺和安全研究人員的逆向分析。惡意程式碼執行後，會彈出視窗詢問使用者是否"願意支援"該軟體，但如果執行日期與登錄檔（HKEY_CURRENT_USER\Software\Classes\CLSID{2B53F0A7-3238-4b4d-8582-E53618739C90}\LockDate）中記錄的首次執行日期不同時，則會直接執行首頁劫持的程式碼邏輯。彈窗截圖，如下圖所示：

彈窗截圖該病毒執行後還會將同目錄下的BosskeyServer.exe註冊為系統服務，而且BosskeyServer.exe中也包含有與主程式中相同邏輯，在首次執行的第二天BosskeyServer.exe則會自動劫持瀏覽器首頁。不過在帶有相同惡意程式碼的小工具中，並不是所有小工具都會註冊系統服務，對於只有一個病毒模組的小工具來說，則需要依靠使用者在首次執行的第二天執行帶毒程式，才會在不經過使用者允許的情況下劫持瀏覽器首頁。最終執行的惡意程式碼會通過檢測執行程式、登錄檔、偵錯程式和執行日期與分析人員進行對抗，只有在執行日期與首次執行日期不同時，才會繼續執行惡意程式碼。被下發病毒模組的主要程式碼邏輯，如下圖所示：