0x00 概述

---

隨著安全軟體與病毒之間攻防對抗的不斷白熱化，病毒的更新換代也日益頻繁，其所使用的手段也日趨多樣化。以最近大範圍流行的“小馬啟用”病毒為例，其傳播至今，據火絨發現的樣本中已經演變出了五個變種。“小馬啟用”病毒，我們之前稱其為“蘇拉克”病毒，因為其核心驅動名為“surak.sys”故得此名，但是隨著其不斷地改變與安全軟體的對抗方式，“蘇拉克”這個名字已經不被病毒作者使用，所以我們將其統稱為“小馬啟用”病毒。

“小馬啟用”病毒的第一變種只是單純地在瀏覽器快捷方式後面新增網址引數和修改瀏覽器首頁的登錄檔項，以達到首頁劫持的目的。由於安全軟體的查殺和首頁保護功能，該版本並沒有長時間流行太長時間。其第二變種，在原有基礎上增強了與安全軟體的對抗能力。由於其作為“系統啟用工具”具有入場時間較早的優勢，使用驅動與安全軟體進行主動對抗，使安全軟體無法正常執行。在其第三個變種中，其加入了檔案保護和登錄檔保護，不但增加了病毒受害者自救的難度，還使得反病毒工程師在處理使用者現場時無法在短時間之內發現病毒檔案和病毒相關的登錄檔項。其第四個變種中，利用WMI中的永久事件消費者（ActiveScriptEventConsumer）註冊惡意指令碼，利用定時器觸發事件每隔一段時間就會執行一段VBS指令碼，該指令碼執行之後會在瀏覽器快捷方式後面新增網址引數。該變種在感染計算機後，不會在計算機中產生任何檔案，使得病毒分析人員很難發現病毒行為的來源，大大增加了病毒的查殺難度。透過如下表格我們可以更直觀的瞭解其發展過程：

表1、“小馬啟用”病毒發展過程

透過我們近期接到的使用者反饋，我們發現了“小馬啟用”病毒的新變種。該變種所運用的對抗技術十分複雜，進一步增加了安全軟體對其有效處理的難度，甚至使得病毒分析人員透過遠端協助處理使用者現場變得更困難。這個“小馬啟用”病毒的最新變種執行介面如下：

圖1、 “小馬啟用”新變種執行介面

0x01 樣本分析

---

該病毒釋放的驅動檔案透過VMProtect加殼，並透過過濾驅動的方式攔截檔案系統操作（圖2），其目的是保護其釋放的動態庫檔案無法被刪除。透過檔案系統過濾驅動，使得系統中的其他程式在開啟該驅動檔案控制程式碼時獲得卻是tcpip.sys檔案的控制程式碼，如果強行刪除該驅動檔案則會變為刪除tcpip.sys檔案，造成系統無法正常連線網路。我們透過下圖可以看到火絨劍在檢視檔案資訊時，讀取的其實是tcpip.sys檔案的檔案資訊。由於此功能，使得病毒分析人員無法在系統中正常獲取該驅動的樣本。

圖2、檔案驅動鉤子和關機通知

該驅動透過註冊關機回撥（圖2）在系統關機時該驅動會將自身在%SystemRoot%\System32\Drivers目錄重新複製成隨機名字的新驅動檔案，並將驅動資訊寫入登錄檔，以便於下一次時啟動載入。在驅動載入之後，其會將locc.dll注入到explorer.exe程式中。該驅動對locc.dll檔案也進行了保護，當試圖修改或者刪除該動態庫時，會彈出錯誤提示“檔案過大”。如圖3所示：

圖3、檔案驅動鉤子和關機通知

當病毒的驅動將locc.dll注入到explorer.exe程式後會執行首頁劫持相關邏輯。透過火絨劍的記憶體轉儲，我們可以看到該病毒鎖定的所有網址。

• http://qd.227237.com/?sg_6
• http://qd.227237.com/?360js_6
• http://qd.227237.com/?sjzc_6
• http://qd.227237.com/?hh_6
• http://qd.227237.com/?op_6
• http://qd.227237.com/?gg_6
• http://qd.227237.com/?pg_6
• http://qd.227237.com/?ay_6
• http://qd.227237.com/?2345_6
• http://qd.227237.com/?bd_6
• http://qd.227237.com/?lb_6
• http://qd.227237.com/?qq_6
• http://qd.227237.com/?114_6
• http://qd.227237.com/?115_6
• http://qd.227237.com/?tb_6
• http://qd.227237.com/?jz_6
• http://qd.227237.com/?sy_6

透過抓取上述網址中的網頁資訊（圖4），我們可以發現上述網址中存放的其實是一個跳轉頁。透過使用跳轉頁面，病毒作者可以靈活調整計費連結和推廣網址，並且對來自不同瀏覽器的流量進行分類統計。

圖4、網頁內容

0x02 資訊追蹤

---

透過測試我們現有的最新該病毒樣本，我們發現該病毒不但推廣了國內的一些導航站和電商入口網站（圖5），還推廣了仿冒的小馬啟用網站（www.xiaomajihuo.net）用來進一步傳播病毒。其推廣網址如下：

• 淘寶特賣：temai.taobao.co
• Hao123網址導航：cn.hao123.co
• 京東商城：www.jd.co
• 淘寶聚划算：ju.taobao.co
• 2345影視大全：v.2345.co
• 愛淘寶：ai.taobao.co
• 愛美眉：www.aimm.c
• 仿冒的小馬啟用網站：www.xiaomajihuo.ne

圖5、病毒推廣效果圖

仿冒的小馬啟用網站訪問效果如下：

圖6、網址訪問效果圖

病毒下載地址為百度雲盤下載連結，如下圖所示：

圖7、百度雲盤連結訪問效果圖

透過反查仿冒的“小馬啟用”官網（xiaomajihuo.net）域名，我們找到了其域名註冊時使用的郵箱——[email protected]。透過該郵箱，我們找到了所有使用該郵箱註冊的域名資訊。如下圖所示：

圖8、使用[email protected]郵箱註冊的域名關係圖

透過訪問上述關係圖中的域名，我們發現：

• 該“病毒推廣公司”利用“小馬啟用”病毒進行推廣，利用多個仿冒小馬啟用官網在網際網路中進行傳播。
• 6位數字加“.com”結尾的域名（下文稱數字域名）中用來架設其首頁劫持要用到的跳轉頁面。

由於我們透過“xiaomajihuo.net”域名可以獲取的資訊比較有限，我們對關係網中（上圖所示）的“xiaomajihuo.cn”域名進行了反查。我們發現有超過50個域名指向這一IP地址，如下圖所示：

圖9、同一IP下的域名列表

觀察這些域名，很容易發現有多個域名帶有“xiaomajihuo”的字樣。在這些域名中，還有很多XM開頭的域名，我們猜測其本意應為“小馬”的拼音縮寫。在對其關聯網址進行訪問時我們發現：

帶有“xiaomajihuo”字樣的網址全部都是仿冒的“小馬啟用”官網，其網頁樣式與前文提到的“www.xiaomajihuo.net”樣式相同。

XM開頭的所有網址都為該病毒的下載頁面，其網頁樣式模仿了當前的主流下載站，具有很強的迷惑性（圖10）。

圖10、網頁訪問效果圖

在網址www.ydjph.com和www.yrdqm.com中，我們發現雖然頁面樣式相同，下載檔名為“win7 activation v1.8”，根據我們的分析，該樣本也同為該病毒，其下載地址也為百度雲盤連結，連結地址為“pan.baidu.com/s/1o79KKII”。

在域名列表中的其他域名，雖然看上去名字隨機性很強，但是我們透過訪問其頁面後發現如下網址為該“病毒生產廠商”的業務推廣站：

• www.hrxwh.com
• www.rymsq.com
• www.gjssb.com
• www.hlbfs.com

就在正在完成這份文件的同時，最後兩個域名內容已經變為了類似圖10的病毒下載頁面。

根據工商局企業查詢系統和搜尋引擎的查詢結果，上述網址中出現的公司經營範圍均為傳統行業，且均有正規官網。所以上述網址中出現的公司名為盜用（圖11），用來擾亂人們視線。其公司服務專案中涵蓋了廣告推廣、網頁製作、軟體開發和技術支援（圖12），這與“小馬啟用”病毒的首頁劫持推廣功能相吻合，即該病毒就是該“病毒推廣公司”的廣告推廣工具之一。如下圖所示：

圖11、其盜用的公司名

圖12、“病毒推廣公司”的業務推廣站

在同一IP下還有兩個軟體推廣網址，分別推廣QQ瀏覽器（圖13）和2345瀏覽器（圖14），其推廣域名如下。

• www.ytjdl.com
• www.ksqdq.com

軟體推廣網址如下圖所示：

圖13、該IP下的QQ瀏覽器推廣網址

圖14、該IP下的QQ瀏覽器推廣網址

我們進一步查詢了“xiaomajihuo.com.cn”域名資訊的相互聯絡（圖15），我們不難發現與該域名相關的大部分仿冒的小馬啟用網站都是使用“[email protected]”這個QQ郵箱進行註冊。透過對其QQ郵箱的查詢，我們定位到了該病毒作者的QQ號碼為133*****7，名叫“葉*”。

圖15、xiaomajihuo.com.cn域名資訊聯絡圖

樣本在執行過程中還訪問了網址“tongji.227237.com”,透過訪問該網址我們瞭解到在該域名所在伺服器中架設著一套“推廣流量監控系統”（圖16），所有其推廣的流量都會先經過該站，以用於其檢視推廣效果。

圖16、該病毒的流量統計系統

根據這些線索，我們理清了該“惡意推廣”業務的主要流程。其首先製作系統啟用工具作為其“惡意推廣工具”，之後再透過百度推廣等推廣方式進行大範圍擴散，在使用者執行這些程式之後，將使用者首頁劫持為數字域名，在該域名下的網頁中加入跳轉網址和付費連結，最終以推廣網際網路公司的產品或主頁進行謀利。

為了躲避安全軟體的網址攔截，其申請的數字域名變動非常頻繁，大部分數字域名已經無法訪問，現在依然可以存活的跳轉站除了上文中提到的“227237.com”還有“827837.com”和“107117.com”，他們分別是“愛淘寶”和“搜狗網址導航”的推廣連結，如下圖所示：

圖17、827837.com下跳轉頁內容

圖18、827837.com推廣“愛淘寶”效果圖

圖19、107117.com下跳轉頁內容

圖20、107117.com推廣“搜狗網址導航”效果圖

透過上述資訊，我們可以清楚看到，絕大部分推廣的網址都來自於國內的大型網際網路企業，阿里巴巴、京東商城這種超大型網路公司甚至也在其中之列。由於當今國內網際網路企業之間的競爭日益激烈，國內的大型網際網路公司為了推廣自己的產品更是可以“豪擲千金”，這一現象極大地刺激了“廣告推廣公司”的迅速壯大，其推廣手段也不斷翻新，更有甚者製作病毒進行廣告推廣，使得國內的網際網路大環境中廣告類病毒（Adware）的種類與傳播範圍在短時間之內迅速增加。普通使用者在使用計算機時只要 “稍有疏忽”就會被捆綁上許多自己本不需要的應用，或者是首頁被隨意修改、瀏覽網頁時被加上廣告。廣大使用者深受其害，但是某些軟體廠商不但沒有加大推廣商的審查力度，反而為了提高推廣“成功率”提高了其軟體的 “解除安裝難度”，使使用者更加苦不堪言。我們從而可以得出結論，廣告推廣商與“病毒生產廠商”之間存在很大的交集， 這些“病毒推廣公司”的推廣業務主要服務於國內的主流網際網路企業並不斷地從中謀取暴利。利用這種盈利模式，“病毒推廣公司”可以不斷推動其黑色鏈條的運轉，對網際網路行業的健康發展造成十分惡劣的影響。

最後，我們在工信部的《ICP/IP地址/域名資訊備案管理系統》上找到了與“[email protected]”郵箱相關網站的ICP備案資訊，我們以域名備案時間為主軸，梳理出了其“病毒推廣公司”的主要成員資訊及關鍵運營過程。

2015年7月13日，葛**首先備案了網站域名“301311.com”和上文中提到的“愛淘寶”推廣網址“827837.com” （圖21）。“301311.com”域名的“go”目錄下存放著眾多被推廣的網址跳轉頁。這與該型別第一個變種出現的時間基本吻合。

圖21、葛**備案的網站資訊

2015年9月21日，殷**備案了網站域名“ujisu.com”和“231238.com”（圖22）。前者為“隨身碟極速啟動”官網，該工具可用於製作隨身碟啟動盤。火絨希望廣大使用者在使用作業系統或者軟體時可以支援正版，謹慎對待此類工具。與後者同時備案的同一型別域名還有很多，但都已無法訪問。

圖22、殷**備案的網站資訊

2015年12月9日，楊**使用“上海******有限公司”的公司名備案了域名“xiaomajihuo.com”和“227237.com”（圖23）。前者為仿冒的小馬啟用官網，該網址現在已無法訪問，後者域名架設著其 “推廣流量監控系統”，所以初步推斷其可能為該“病毒推廣公司”的主要成員。

圖23、楊**備案的網站資訊

由於2016年初，國內很多安全廠商對“小馬啟用”進行了全面查殺，其域名也被很多安全軟體攔截。所以在2016年1月13日至20日，張**、葉*、陳*等人備案瞭如下五個域名用於架設仿冒的小馬啟用官網（圖24）。其域名開放時間有很強的隨機性，所以當安全廠商認為其域名已經廢棄，並將攔截記錄“最佳化”掉的時候，其域名很有可能會再次“復活”。

• xiaomajihuo.cn
• xiaomajihuo.net
• xiaomajihuo.com.cn
• xiaomajihuo.org
• xiaomajihuo.org.cn

圖24、2016年1月13日至20日註冊的假小馬啟用域名

2016年3月20日，楊**在有關部門備案了域名“wanmeijihuo.com”（圖25）。至今為止，該域名並未啟用，但根據備案時間我們初步推斷，該域名很有可能為其下一“惡意推廣產品”的主要傳播渠道。針對該情況，火絨已經針對其域名進行了提前攔截。

圖25、“wangmeijihuo.com”域名備案資訊

為徹底查明事實真相，我們瀏覽了小馬啟用所謂的官方網站（www.pccppc.com），當進入其官網時頁面最上方彈出了其“嚴正宣告”，在其小馬啟用的下載專區我們發現其停止更新的公告。頁面中還給出了其官方QQ群號，提示資訊中寫著“小馬工具箱V1.01版已經發布”字樣。如下圖：

圖26、“小馬啟用官網”訪問效果圖

我們嘗試加入該群，我們發現其群共享檔案中並沒有其所謂的“小馬工具箱”，而是有兩個最近一個月左右上傳的“小馬啟用工具”，其檔案上傳者就是其QQ群的建立者（圖27-28），也就是其所謂“小馬官方人士”上傳。

圖27、小馬啟用官方QQ群檔案共享展示圖

圖28、群成員展示圖

在下載時，我們發現檔案剛剛落地就被火絨的下載掃描報毒（圖29）。經過我們進一步分析，其樣本正是我們在概述中所提到的“小馬啟用”病毒的第四類變種。這些證據指明，原“小馬啟用工具”的製作團隊可能與該病毒運作團隊之間存在著直接關係。

圖29、火絨下載掃描效果圖

我們透過上述所有跟蹤分析，推斷了該“病毒推廣公司”的運作體系和業務結構。如下圖所示：

圖30、“病毒推廣公司”的運作體系和業務結構圖

該“病毒推廣公司”涉及到“白、灰、黑”三個領域的業務。

• “白”：軟體推廣業務，主要透過吸引使用者流量到其推廣頁面的方式幫助大型網際網路企業進行廣告推廣，已知推廣物件包括QQ瀏覽器和2345瀏覽器等；*

• “灰” ：網際網路行業內的灰色地帶，包括“隨身碟極速啟動”和“小馬啟用工具”。由於國內網際網路大環境對於版權的審查力度並不是十分嚴格，使得該類產品在市場中盛行，使用者對該類產品也產生了依賴性；*

• “黑” ：與病毒相關的“黑色產業”，該公司製作“小馬啟用”病毒進行流量劫持，利用使用者對盜版系統啟用這一剛需，藉助搜尋引擎最佳化及早期“口碑營銷”，在網際網路中大範圍傳播；

0x03 綜述

---

隨著國內網際網路企業之間的競爭進入白熱化，產品推廣作為最接近市場的最後環節成為各大軟體廠商用來競爭的眾矢之的。國內的各個網際網路公司不惜一切代價地向市場推廣自己的軟體產品，由於受到利益驅使軟體推廣商在推廣力度上不斷加大，最終跨過網路安全的紅線，製作病毒推廣工具進行廣告推廣。作為收益方，被推廣的網際網路企業也並沒有在發現這一現象後及時制止，而是繼續為這些“病毒推廣廠商”所提供的服務買單，促使了整個黑色產業鏈條的形成。

對於“小馬啟用”病毒，在國內安全廠商開始對其進行全面查殺時，其賊喊抓賊、監守自盜，使很多使用者甚至安全廠商都矇在鼓裡。其利用使用者的長期信任與使用者對於系統啟用工具的麻痺大意，使得該病毒在短時間之內大範圍傳播。其使用十分惡劣的手段進行廣告推廣，嚴重影響了使用者對計算機的正常使用，甚至對網際網路行業的發展造成了不良影響。放眼中國網際網路市場，“小馬啟用”病毒也只是 “病毒推廣”黑色產業鏈中的一個縮影，類似於“小馬啟用”病毒製作團體的“病毒推廣廠商”還有很多。究其本質，監管力度不足和被推廣的網際網路企業對於推廣手段的放任、不作為才是造成“病毒推廣廠商”肆意妄為的主要原因。

隨著中國網際網路熱潮的到來，近年來崛起的網際網路公司如同雨後春筍一般快速增多，人們的內心越來越浮躁，人們漸漸變得只看重結果不在乎過程，最終捨本逐末，變成了追逐利潤的淘金工具。作為網際網路企業，其本職工作應該是對於其產品及服務的精益求精，更多的是要為使用者著想，因為我們的身上肩負著使用者對我們的信任。