網路資源重汙染:超過20家知名下載站植入Killis木馬

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2015/09/23 13:54

Xcode編譯器引發的蘋果病毒大爆發事件還未平息,又一起嚴重的網路資源帶毒事故出現在PC網際網路上。

這是一個名為Killis(殺是)的驅動級木馬,該木馬覆蓋國內二十餘家知名下載站,透過各大下載站的下載器或各種熱門資源傳播,具有云控下發木馬、帶有數字簽名、全功能流氓推廣、破壞防毒軟體等特點。根據360安全衛士監測,最近10小時內,Killis木馬已經攻擊了50多萬臺電腦。

0x01 Killis木馬傳播:下載站隱蔽推廣

下載站遍佈暗雷的廣告位誘導早已不是什麼新鮮事了。但試問:即便是如同槍林彈雨中左躲右閃計程車兵一樣躲過了所有的“陷阱”,你就安全了麼?

答案是否定的,因為Killis木馬的源頭就隱藏在一些知名下載站的真實下載地址中。

以國內某大型下載站為例,當使用者點選一些資源的真實下載地址後,下載回來的首先是一個下載器(http:[email protected]_114617.exe):

這個程式執行後,除了為使用者下載原本需要的資源以外,它同時會向伺服器請求一個推廣列表:

Killis木馬就在這時進入電腦。再看帶有Killis木馬推廣行為的下載站列表,只要你在國內下載站下載檔案,幾乎無可避免會遇到Killis木馬的侵襲,此木馬背後產業鏈的流量控制能力由此可見一斑:

0x02 KILLIS木馬分析:AV終結者+全功能流氓推廣器

Killis木馬偽裝成“傳奇霸業”的端遊客戶端,並利用一些公司洩露的過期簽名,為自己簽發木馬。而這個遊戲客戶端只是個幌子,木馬真正的功能是將使用者計算機做為一個刷量終端,不斷的進行推廣。此木馬可以雲控安裝軟體,安裝外掛,放桌面放快捷方式,改桌面快捷方式,改桌面圖示,殺指定程式。Killis作為一個全功能的推廣器隱藏在受害使用者計算機中,並且還有一個殺程式驅動,用來結束多家殺軟的程式,防止木馬推廣被攔截。

木馬原始包:629c04c150ef632b098fe65cf3ff3b60

木馬驅動,帶有一個過期的簽名:4f504c748025aa34d9c96d0e7f735004

Xuanyi Electronic (Shanghai) Co., Ltd.

被這個木馬利用的簽名列表:

Open Source Developer, 東莞市邁強電子科技有限公司
Luca Marcone
Baoji zhihengtaiye co.,ltd
Jiangsu innovation safety assessment Co., Ltd.
Wemade Entertainment co.,Ltd
Beijing Chunbai Technology Development Co., Ltd
Fuqing Yuntan Network Tech Co.,Ltd.
Guangzhou Kingteller Technology Co.,Ltd.
Shenzhen Liantian Technology Co., Ltd
Xuanyi Electronic (Shanghai) Co., Ltd.

用來做偽裝的遊戲安裝包:

木馬功能分析:驅動部分,是一個名為KILLIS的裝置,用來負責查殺程式操作:

驅動開啟程式與結束程式:

驅動pid查詢結束程式:

Ring3部分,是一個下載推廣器,內建了一批推廣列表,透過Base64編碼:

解碼後發現的木馬推廣列表:

木馬的雲控打點資訊,收集客戶端的mac地址,系統資訊等提交雲端,雲端下發推廣列表給木馬推廣執行:

木馬檢查殺軟程式,包括360、騰訊和金山的軟體程式:

木馬註冊外掛:

木馬建立服務,並向裝置傳送訊息:

0x03 安全建議

針對國內眾多下載站遭Killis木馬汙染的情況,360安全中心已將此情況進行通報,提醒各網站加強對推廣資源的稽核和管控,以免對使用者造成損失。同時360安全產品也會對下載網站推廣木馬的行為進行風險提示。

針對廣大網友,建議儘量選擇安全可靠的渠道進行下載。如果發現電腦自動安裝了不請自來的軟體,應及時全盤掃描防毒,以防系統殘留木馬,對賬號和資料安全造成更嚴重的風險。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章