近期，火絨安全實驗室攔截到一批攜帶病毒的“小馬啟用工具”。病毒啟動後會從遠端伺服器上下載惡意配置資訊，並執行靜默安

裝軟體的惡意行為。推廣的軟體包括“360”、“2345”系列軟體以及“騰訊電腦管家”等其他軟體，不排除後續下發其他惡意配置

的可能。火絨安全軟體可查殺該病毒；【軟體安裝攔截】功能可攔截被推廣的軟體。

被推廣的軟體

病毒查殺圖

透過百度搜尋“啟用工具”發現，排名靠前的三條搜尋結果都在傳播該病毒，這說明病毒作者妄圖透過購買百度競價排名的方法大

範圍傳播病毒。

百度搜尋結果

進一步溯源該啟用工具的網址hxxp://wd9.hmd888.top，發現該域名屬於“桂林市木兮網路科技有限公司”，該公司的網站備案信

息，如下圖所示：

該公司網站備案資訊

詳細分析

病毒啟動後會從遠端伺服器上下載惡意配置資訊，並執行對應的惡意行為，如：下載、執行任意檔案，後臺靜默安裝軟體等。

病毒的執行流程，如下圖所示：

Setup_Activator.exe是初始化模組，該模組是個Autoit指令碼編譯的，並使用混淆手段來躲避防毒軟體查殺。相關程式碼，如下圖所示：

被混淆的程式碼

將其去混淆後，發現該模組會釋放、執行原始的啟用工具和kmsactivation.exe惡意模組，並建立任務計劃進行持久化。釋放啟用

工具和惡意模組。相關程式碼，如下圖所示：

釋放啟用工具和惡意模組程式碼

為惡意模組建立任務計劃進行持久化，每次開機的時候都會啟動。相關程式碼，如下圖所示：

建立計劃任務進行持久化

根據系統版本來執行不同的啟用工具。相關程式碼，如下圖所示：

根據系統版本的不同執行不同的啟用工具

在kmsactivation.exe模組中，首先從hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt獲取惡意配置資訊，再根據惡意配置

資訊來執行特定的惡意行為，如：下載、執行任意檔案，後臺靜默安裝軟體等。相關惡意配置資訊，如下圖所示：

惡意配置資訊

根據惡意配置資訊下載、執行任意檔案。相關程式碼，如下圖所示：

根據惡意配置資訊下載、執行任意檔案

該模組還會過濾指定城市，對指定城市以外的地方，額外安裝一些軟體（騰訊電腦管家），獲取使用者當前所在城市。相關程式碼，

如下圖所示：

過濾使用者所在城市

根據惡意配置資訊，後臺靜默推廣軟體，並對指定城市以外的地方，額外安裝一些軟體（騰訊電腦管家）。相關程式碼，如下圖

所示：

後臺靜默推廣軟體

附錄

C&C伺服器列表：

病毒HASH：