0x00 概述

---

1. 盜版軟體使用者和“APT 攻擊”

我國電腦使用者當中,使用盜版軟體是非常普遍的現象,從盜版的 Windows 系統到各種收費軟體的“破解版”等等。

網際網路上也充斥著各種幫助使用者使用盜版的“啟用工具”、“破解工具”,投其所好地幫助使用者使用盜版軟體。但是“天下沒有免費的午餐”,除了一部分破解愛好者提供的無害的免費啟用工具之外,病毒製造者也瞄準了盜版人群,他們利用提供啟用工具的機會,將惡性病毒植入使用者電腦。

前段時間爆發的“小馬啟用病毒”為例,其以系統啟用工具的身份為掩護,利用其“入場”時間早的天然優勢,在使用者電腦上遮蔽安全軟體、肆意劫持流量,危害極大。同理,許多病毒製造者病毒用 PE 工具箱、系統啟用工具等形式進行包裝,不但加快了病毒的傳播速度,也加強了其隱蔽性,從而躲避安全軟體的查殺。

提到 APT,很多人會首先想到那些針對大型企業甚至政府部門的特定攻擊或威脅,以及 0day、掛馬、間諜等。實際上,APT(Advanced Persistent Threat,即高階持續性威脅),所指非常寬泛,即“透過較為高階的手段這對特定群體產生的持續性威脅”,因此針對盜版使用者的病毒威脅,也在 APT 攻擊之列。

本報告為大家揭示的病毒,就屬於這類惡意威脅。該病毒在系統安裝階段 “先人一步”釋放出惡意程式,並透過時間優勢提前安置安全軟體白名單庫將病毒自身 “拉白”,再透過眾多功能單一、目標明確的程式相互配合,針對 “盜版作業系統使用者”這一特定群體形成了持續性的威脅。

這種針對“盜版使用者”的 APT 攻擊迷惑性極強,使用者很難發現惡意程式。更要命的是,即使安全軟體報毒,使用者通常也會認為是誤報了“系統程式”從而選擇放過。

2. “Bloom”病毒何以長期“倖存”?

近期,火絨在一個瀏覽器首頁遭劫持的使用者現場中提取到了一組具有“鎖首”功能的惡意程式,該程式會透過修改使用者瀏覽器快捷方式的手段劫持“灰色流量”。在獲取樣本後,火絨便當即對其進行了查殺,因其註冊的服務名將其命名為“Bloom”病毒。

隨後,我們在火絨樣本庫中進行關聯查詢,發現了該病毒在網際網路中流行的兩個主要版本,兩個版本時間相差一年,而“第一代”病毒更是在 2014 年就已經出現。然而,截止目前為止,國內的大部分主流安全軟體仍未能有效對其進行查殺。隨著我們對這組樣本的分析我們發現,這組樣本中每個程式功能極為單一、獨立,如果僅僅透過對單個樣本進行分析,並不能完整的獲得該病毒的整個邏輯,從而無法認定其為惡意樣本。

正是因為上述原因,使得這個病毒在安全軟體的眼皮底下堂而皇之地生存了至少兩年之久。

0x01 樣本分析

---

“Bloom”病毒是一組透過修改瀏覽器快捷方式的手段劫持使用者流量的惡意程式。透過火絨的“威脅情報分析系統”,我們發現該病毒通常會藏匿於以下幾個路徑名中:

#!shell
C:\Program Files\Bloom Services
C:\Program Files\Supervise Services
C:\Program Files\WinRAR\RARDATA
C:\Windows\Microsoft.NET\Framework\v4.0.3032018
C:\Program Files\Windows Defender\DATA\Supervisory

觀察上述路徑名,我們發現該病毒通常會將自己偽裝到一些常見的系統目錄下,以此來矇蔽使用者,致使安全軟體即使發現了該病毒,使用者也會誤以為是系統程式選擇放過。

經過我們一段時間的追蹤,我們發現在當前網際網路環境中活躍“Bloom”病毒的兩個版本,我們暫且稱他們為“Bloom”病毒的“第一代”和“第二代”。如下圖所示:

圖 2-1. “Bloom”病毒“第一代”(左)與“第二代”(右)概覽

兩代病毒都是透過名為“360.bat”的批處理指令碼進行病毒相關的初始化操作。如下圖所示:

圖 2-2. “360.bat”內容概覽

“Supervisory.exe”用來註冊服務,服務名為“Bloom Services”,該服務每隔一分鐘就會啟動“Moniter.exe”,由該程式呼叫“Prison.exe”將瀏覽器快捷方式中加入網址引數,達到其劫持使用者流量的目的。其在“Prison.exe”中使用的網址如下:

#!shell
http://bd.33**38.cc –> https://web.sogou.com/?12315
http://hao.33**38.cc -> http://www.2345.com/tg21145.htm
http://www.33**38.cc -> https://web.sogou.com/?12242-0001
http://bd.4**z.com/?fw -> https://web.sogou.com/?12242-0001
http://bd.i**8.com/?fw –> http://www.2345.com/?33883
http://hao.4**z.com/?fw -> https://web.sogou.com/?12315
http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm
http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm
http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001

由於“Prison.exe”中指向的網址是固定的,病毒作者為了增加“鎖首”的“靈活性”,還為“第一代”病毒設定了更新程式“360TidConsole.exe”。每隔一分鐘就會檢測“Prison.exe” ,如果本地的病毒版本過舊,就會透過訪問http://update.qido***ashi.com/下的“version.txt”獲取最新的病毒版本。如果版本不統一,則會透過該站點下的“download.txt”獲取病毒下載地址進行更新。為了增加其病毒的隱蔽性,“第一代”病毒還試圖仿冒微軟簽名欺騙使用者,如下圖:

圖 2-3. “第一代”病毒仿冒的微軟簽名展示

“第二代”病毒較前者去掉了病毒的更新功能,新增了“preservice.exe”用於結束一些主流安全軟體的安裝程式程式。由於病毒“入場”時間早於安全軟體,在與安全軟體對抗的時候大大降低的技術成本。如下圖:

圖 2-4. “preservice.exe”結束程式概覽“第二代”病毒為了繞過國內個別安全軟體的查殺,每個可執行檔案都加上自己的簽名。如下圖:

圖 2-5. “第二代”病毒所使用的簽名

經過我們的粗略分析,我們初步找到在使用者計算機上流走的“灰色流量”源頭就是”Bloom”病毒,該病毒集“劫持流量”、實時更新、與安全軟體對抗於一身,把使用者的計算機變成了幫助病毒製造者賺錢的“肉雞”。

0x02 追根溯源

---

透過病毒更新時使用的域名(http://update.qido***ashi.com),我們找到了與病毒相關的一個“U 盤啟動製作工具”——“啟動大師”的官網。如下圖:

圖 3-1. 與病毒相關的“U 盤啟動製作工具”官網

透過下載和簡單的檔案資訊檢視,我們發現“啟動大師”所用的簽名雖然已經失效,但其與“第二代”Bloom 病毒所用的簽名是相同的。所以我們初步推斷,該病毒可能是被 “啟動大師”所釋放。

在用“啟動大師”製作了 PE 啟動盤後,我們進入了其預設好的 PE 系統。“啟動大師”執行效果圖如下:

圖 3-2. “啟動大師”執行效果圖

在進入 PE 系統之後,我們發現“啟動大師”的 Ghost 工具躍然於桌面,似乎有一種“恭候多時”的殷切。效果如下圖:

圖 3-3. 使用“啟動大師”製作的 PE 系統效果圖

我們隨即找到了該程式所在的位置,如下圖:

圖 3-4. 與病毒相關的 Ghost 還原程式總覽

我們在該目錄下,發現了很多號稱是 Ghost 工具的程式和一些可疑的檔案,我們對如上檔案展開了詳細分析。

其中有三個自稱是 Ghost 工具的檔案,其中“ghost32.exe”為正常的 Ghost 還原工具,其餘的兩個“qddsghost.exe”和“ghost.exe”可能都和病毒有關,我們下面將對它們進行詳細介紹。

首先,我們對“qddsghost.exe”進行了分析,發現其不但會使用命令列呼叫真正的Ghost 還原程式“ghost32.exe”,還會在還原後系統中釋放與修改首頁和修改各種瀏覽器的收藏夾的相關檔案。

“qddsghost.exe”所釋放的檔案都存在其資源中,資源 Type(EXEFILE)_Name(AD)_Lang(0x804)是一個批處理檔案(下文稱“ad.bat”)其起到了整體的排程分配作用。該批處理檔案內容如下:

圖 3-5. “ad.bat”內容總覽

我們將該批處理的內容包括四個部分:

1) 瀏覽器“鎖首”:其使用命令列修改了一些主流瀏覽器(360 安全瀏覽器、QQ瀏覽器、2345 瀏覽器等)的預設首頁,並且進行了使用者系統的登錄檔管理器,以防止使用者修復首頁。資源中包含的壓縮包中包含著幾種瀏覽器配置檔案,替換配置檔案後的瀏覽器預設首頁和收藏夾就會被新增和修改。

2) 釋放“首頁劫持”快捷方式:Type(EXEFILE)_Name(IK1)_Lang(0x804)、Type(EXEFILE)_Name(IK2)_Lang(0x804)、Type(EXEFILE)_Name(IK3)_Lang(0x804) 三個資源都是網址連結檔案,病毒呼叫的批處理會將他們釋放到使用者資料夾下的Favorites 資料夾中。上述網址連結指向的推廣網址如下:

#!shell
http://www.ha**9.com/?1
http://www.ha**5.com/?1
http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329

3) 釋放 Apache、搭建本地 PHP 跳轉頁面“黑吃黑”:其先下載 http://host.66***5.com/index3.txt 中存放的 hosts 檔案,之後透過修改系統 hosts 檔案將其過濾列表中的網址 IP 改為“127.0.0.1”(其搭建的跳轉頁),最後透過跳轉頁跳轉至推廣頁面。

圖 3-6. 病毒在本地搭建的 PHP 跳轉頁面

程式碼中過濾的大部分網址都為賭博、色情等非法網址,其透過本地過濾的方式借其他”灰色流量”為自己賺取流量,打壓“黑色產業鏈”中的“同行”,借他們的手為自己賺錢。

4) 釋放安全軟體的白名單庫:Type(EXEFILE)_Name(BAIDUSD7)_Lang(0x804)和Type(EXEFILE)_Name(QQPCMGR)_Lang(0x804)都是壓縮包,前者壓縮的檔案是百度防毒的白名單資料庫,後者為騰訊電腦管家的白名單資料庫及相關配置。

圖 3-7. 百度防毒白名單資料庫設定

由於該病毒的“入場”時間早於安全軟體,當安全軟體安裝時,會誤認為這些白名單配置為之前安裝後保留的配置,使得病毒可以透過修改安全軟體白名單的方法直接繞過安全軟體查殺。

5) 病毒使用的一些基礎工具,包含命令列版的 7z 程式包等。

在“qddsghost.exe”啟動之後還會呼叫“srcdll.dll”動態庫中的匯出函式“shifanzyexedll”。在該動態庫中,我們也發現了很多資源,除了修改首頁的批處理檔案之外,其餘全部都是可執行檔案。

下圖中顯示了 srcdll.dll 檔案釋放出來的檔案之間的相互關係,其首先會釋放最上邊的三個深色的可執行檔案,透過對這三個檔案的執行和分析,我們又得到了四組惡意程式。

圖 3-8. srcdll.dll 釋放檔案關係圖(圖中標號與下文對應)

第一組:“QQBrowser.exe”和“QQBrowser.reg”。可執行檔案會將登錄檔檔案匯入到系統中,其將 QQ 瀏覽器的首頁修改為病毒的跳轉頁。

第二組:“Home.exe”和“pic.exe”都會修改 IE 首頁,“pf.exe”是釋放出了很多網址連結檔案和加了網址引數瀏覽器快捷方式用於其進行“流量變現”,在 WIN7 系統下其還會釋放“淘寶商城.exe”,該程式會開啟帶有推廣付費號的“愛淘寶”網址連結。“pf.exe”程式執行效果圖如下:

圖 3-9. “pf.exe”執行效果圖

第三組:“sdff.exe”執行後會在桌面上建立了“story.exe”和“tutule.exe”的快捷方式,其兩者會跳轉到兩個不同的推廣頁。除了釋放上述檔案和快捷方式外,其還會釋放出“Bloom”病毒,每隔一段時間就會修改使用者的瀏覽器快捷方式中加入推廣網址。

第四組:“Project1.exe”會將“360safte.dll ”註冊為 BHO(Browser Helper Object)外掛,其會劫持瀏覽器訪問的網址。該外掛會根據自己在 http://bho.66***5.com/config.txt 上的劫持列表,在瀏覽器訪問其中的網址時將其劫持為帶有推廣付費號的網址連結。如果系統中還有其他的程式在進行廣告推廣時,這些流量最終都會流進病毒作者的“腰包”,使得該病毒不但成為了其擷取流量的工具,也成為了其用來“黑吃黑”的牟利工具。

圖 3-10. 病毒劫持網址列表

透過對以上四組檔案的分析,我們發現了“啟動大師”釋放的所有病毒都是為了進行“流量變現”的,其所涉及的大型網站之多讓人不禁嗔目結舌。以上四組病毒所涉及的網址站點如下:

• 百度(www.baidu.com)
• 淘寶聚划算(ju.taobao.com)
• 天貓商城(jx.tmall.com)
• 愛淘寶(ai.taobao.com)
• 京東商城(www.jd.com)
• 一號店(www.yhd.com)
• 搜狗網址導航(web.sougou.com)
• 2345 網址導航(www.2345.com)
• Hao123 網址導航(www.hao123.com)
• 黃金屋(www.35kxs.com)
• 女人街(www.womenjie.com)

在使用“啟動大師”之後,其所釋放的眾多程式透過相互配合源源不斷地為其作者劫持“灰色流量”,透過高隱蔽性的偽裝對“盜版使用者”造成了高階的、可持續性威脅,使使用者成為了病毒作者刷取“灰色流量”的“肉雞”。使用者在搜尋、網購、瀏覽網際網路媒體資訊時,這些非法流量會將源源不斷地計入這些病毒所用的計費賬號。“啟動大師”的“病毒製作團隊”以 PE 工具箱為誘餌,藉助使用者安裝盜版系統的“剛需”將病毒在系統還原的時間點釋放到使用者的計算機中,以多種形式進行“流量變現”,嚴重侵害了使用者切身利益。對於該病毒的上述惡意行為,針對與該病毒相關的所有樣本火絨已經率先進行查殺。

暗藏在“灰色流量”源頭的幕後黑手彷彿已經浮出水面,但是究竟誰才是這種“瘋狂套利”現象背後的推手?為何使用者長時間處於病毒威脅之中卻又無人過問?我想這是值得我們每個人深思的問題。

0x03 結論

---

隨著國內網際網路環境的日益複雜,如今的使用者所面對環境的複雜程度史無前例。內有“啟動大師”這樣的“流氓當道”,外有勒索病毒一類高威脅性病毒對我們的虎視眈眈,對於一個普通使用者而言,能夠保證自己遠離這些威脅已經實屬不易。但是隨著當今網際網路中“套利方式”的不斷翻新,每天網際網路中都會出現新的病毒、流氓軟體威脅使用者的資訊保安和切身利益。

如今的網際網路環境之下,使用者電腦在無孔不入的病毒面前很容易失守,再加之國內的大型網際網路公司本身對流量有著長期、迫切的需求,使得病毒和流氓軟體的製造者瘋狂的在攻擊手段和套路上無所不用其極。

網際網路環境日益複雜,而國內的網際網路企業對於網路安全的重視程度有待提升,從而造成“黑色產業鏈”的參與者也加入了國內的網際網路大潮,造成了當前網際網路中惡意競爭事件屢見不鮮。一些網際網路公司受到了這些“快速變現”的“邪門歪道”的影響,逐漸的也把重點放在了想方設法獲取使用者瀏覽,促進公司業績上,對於見效慢、盈利週期長的主營業務則漸漸降低了成本,以此為迴圈不斷地追求高績效、高收益。而這些不也正是當前國內經濟市場存在“產能過剩”的根源嗎?長此以往定會影響國內網際網路的健康發展。過剩的“灰色流量”不但降低了使用者的使用體驗,也大大地影響的急需廣告推廣的網際網路企業的企業形象及推廣質量。火絨在此呼籲廣大網際網路企業,在廣告推廣的同時加強稽核力度,將“灰色流量”扼殺在源頭。

0x04 附錄

---

文中涉及樣本 SHA1