啟用工具帶毒,靜默安裝360、2345系列軟體

火絨安全實驗室發表於2022-10-10

近期,火絨安全實驗室攔截到一批攜帶病毒的“小馬啟用工具”。病毒啟動後會從遠端伺服器上下載惡意配置資訊,並執行靜默安

裝軟體的惡意行為。推廣的軟體包括“360”、“2345”系列軟體以及“騰訊電腦管家”等其他軟體,不排除後續下發其他惡意配置

的可能。火絨安全軟體可查殺該病毒;【軟體安裝攔截】功能可攔截被推廣的軟體。

被推廣的軟體

病毒查殺圖

透過百度搜尋“啟用工具”發現,排名靠前的三條搜尋結果都在傳播該病毒,這說明病毒作者妄圖透過購買百度競價排名的方法大

範圍傳播病毒。

百度搜尋結果

進一步溯源該啟用工具的網址hxxp://wd9.hmd888.top,發現該域名屬於“桂林市木兮網路科技有限公司”,該公司的網站備案信

息,如下圖所示:

該公司網站備案資訊

詳細分析

病毒啟動後會從遠端伺服器上下載惡意配置資訊,並執行對應的惡意行為,如:下載、執行任意檔案,後臺靜默安裝軟體等。

病毒的執行流程,如下圖所示:

Setup_Activator.exe是初始化模組,該模組是個Autoit指令碼編譯的,並使用混淆手段來躲避防毒軟體查殺。相關程式碼,如下圖所 示:

被混淆的程式碼

將其去混淆後,發現該模組會釋放、執行原始的啟用工具和kmsactivation.exe惡意模組,並建立任務計劃進行持久化。釋放啟用

工具和惡意模組。相關程式碼,如下圖所示:

釋放啟用工具和惡意模組程式碼

為惡意模組建立任務計劃進行持久化,每次開機的時候都會啟動。相關程式碼,如下圖所示:

建立計劃任務進行持久化

根據系統版本來執行不同的啟用工具。相關程式碼,如下圖所示:

根據系統版本的不同執行不同的啟用工具

在kmsactivation.exe模組中,首先從hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt獲取惡意配置資訊,再根據惡意配置

資訊來執行特定的惡意行為,如:下載、執行任意檔案,後臺靜默安裝軟體等。相關惡意配置資訊,如下圖所示:

惡意配置資訊

根據惡意配置資訊下載、執行任意檔案。相關程式碼,如下圖所示:

根據惡意配置資訊下載、執行任意檔案

該模組還會過濾指定城市,對指定城市以外的地方,額外安裝一些軟體(騰訊電腦管家),獲取使用者當前所在城市。相關程式碼,

如下圖所示:

過濾使用者所在城市

根據惡意配置資訊,後臺靜默推廣軟體,並對指定城市以外的地方,額外安裝一些軟體(騰訊電腦管家)。相關程式碼,如下圖

所示:

後臺靜默推廣軟體

附錄

C&C伺服器列表:

病毒HASH:


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70012241/viewspace-2917556/,如需轉載,請註明出處,否則將追究法律責任。

相關文章