0x00 概況

---

近期11.11購物節，無數的網頁、軟體都充斥著“血拼雙11”的廣告，這時的電腦桌面如果多了幾個雙11相關的快捷方式，或者瀏覽器主頁被鎖定成推送網購內容的導航網站，你會不會認為這也是正常的呢？真實的情況卻是你的電腦很有可能中馬了。近期騰訊反病毒實驗室攔截到流氓軟體“多彩便籤”正在大量推廣一個偽裝成“阿里媽媽推廣程式”的木馬，該木馬強對抗殺軟，惡意鎖主頁，危害十分嚴重。

0x01 木馬分析

---

• 檔名：AlimamaAgent.exe
• MD5：7c428f8759b9015409e87acfa50646c2
• 推廣渠道：多彩便籤

母體AlimamaAgent.exe行為

木馬母體偽裝成阿里媽媽推廣程式，其資源中放有三個檔案，一個是真正的阿里媽媽推廣程式AlimamaAgent.exe，一個是木馬檔案，另一個是配置檔案。母體執行後首先判斷系統啟動了多久，如果不超過5分鐘的話則釋放出木馬並執行，然後再釋放阿里媽媽推廣程式；如果已經超過5分鐘的話則只釋放阿里媽媽推廣程式，不釋放木馬。此方法可以繞過很多未重啟的自動化分析系統、沙盒等。同時系統剛啟動的數分鐘內通常是安全軟體防禦的薄弱時期，此時木馬往往可以乘虛而入，執行敏感操作。

圖1. 木馬母體的資源資訊

圖2. 木馬只在開機5分鐘內執行，用於繞過安全軟體主防和自動分析系統等

圖3. 釋放真正AlimamaAgent.exe並執行，該檔案是阿里媽媽官方推廣程式，主要功能是在桌面釋放兩個快捷方式進行相關推廣，雙11是其推廣的主題

木馬sbffdm.exe行為

Sbffdm.exe是木馬的安裝程式，其功能是釋放出木馬的主功能檔案並載入，總共會釋放3個驅動檔案、1個exe檔案和1個dll檔案。同時該木馬會判斷自身檔名，如果不符合規則，則直接退出程式，可能是用於繞過自動分析軟體的分析。

圖4. 判斷檔名，如果不符合規則就退出

圖5. 釋放CmBatt2.sys、secdrv2.sys、stisvc2.sys、zystatic.exe、zyinstall.dll五個檔案,木馬會首先判斷系統型別，如果是64位系統，則釋放的驅動為64位驅動，功能類似

圖6. 呼叫zyinstall.dll的介面，實現載入3個驅動檔案

圖7. Zyinstall.dll的介面實現，主要功能是以服務的方式載入驅動

驅動CmBatt2.sys行為

CmpBatt2.sys主要用於鎖定瀏覽器主頁，鎖主頁的方式是透過註冊建立程式回撥，在回撥函式中比較程式名的CRC32值，如果在列表中（木馬內建了一個各種瀏覽器程式名的CRC32列表），則透過新增命令列的方式進行主頁鎖定。同時，該檔案還負責清除與主頁保護相關的其它檔案。

圖8. 透過建立回撥的方式進行主頁鎖定

圖9. 可能為了免殺，該木馬並未內建瀏覽器名稱，而是內建了相應的CRC32值列表

圖10. 透過新增命令列的方式實現主頁鎖定

圖11.透過fsd hook，將與主頁保護相關的其它檔案設定成不可訪問，以獨霸主頁

驅動Secdrv2.sys行為

Secdrv2.sys的主要功能是透過atapi hook，保護木馬的3個驅動檔案不被訪問、刪除等。

圖12. 透過Hook保護3個驅動檔案

驅動stisvc2.sys行為

Stisvc2.sys的主要功能是透過hook系統各種關鍵點對抗安全軟體，主要的hook點有：

1） fsd hook：判斷對木馬目錄zyprotect的查詢是否來自安全軟體，是則阻止。過濾所有檔案的建立操作，如果建立的是安全軟體驅動，則阻止。
2） Ssdthook：hook了NtQueryInformationProcess，NtQuerySystemInformation，NtReadfile，判斷操作者是否為安全軟體程式，如果是則阻止。

圖13. 阻止安全軟體對木馬目錄的訪問

圖14. 阻止安全軟體相關檔案的建立

圖15. 木馬最終實現的鎖主頁效果

0x02 總結

---

木馬總是藉著各種熱點進行傳播，在各大網站和各種圈子都被雙11購物節刷屏的時候，管家提醒使用者更要保護電腦安全，注意桌面圖示、瀏覽器主頁的變化，木馬有可能借著雙11的契機在你電腦上安家落戶。如果發現主頁被鎖或者桌面莫名增加了圖示，請及時檢查防毒。