「小馬激活」病毒新變種分析報告

在線詳細報告地址 http://files.cnblogs.com/files/microzone/%E2%80%9C%E5%B0%8F%E9%A9%AC%E6%BF%80%E6%B4%BB%E2%80%9D%E7%97%85%E6%AF%92%E6%96%B0%E5%8F%98%E7%A7%8D%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf

 

 1、概述

        隨着安全軟件與病毒之間攻防對抗的不斷白熱化，病毒的更新換代也日益頻繁，其所使用的手段也日趨多樣化。以最近大範圍流行的「小馬激活」病毒爲例，其傳播至今，據火絨發現的樣本中已經演變出了五個變種。「小馬激活」病毒，咱們以前稱其爲「蘇拉克」病毒（詳見《安全警報：惡性病毒「蘇拉克」正在蔓延》，http://bbs.huorong.cn/thread-12375-1-1.html） ，由於其核心驅動名爲「surak.sys」故得此名，可是隨着其不斷地改變與安全軟件的對抗方式，「蘇拉克」這個名字已經不被病毒做者使用，因此咱們將其統稱爲「小馬激活」病毒。

       「小馬激活」病毒的第一變種只是單純地在瀏覽器快捷方式後面添加網址參數和修改瀏覽器首頁的註冊表項，以達到首頁劫持的目的。因爲安全軟件的查殺和首頁保 護功能，該版本並無長時間流行太長時間。其第二變種，在原有基礎上加強了與安全軟件的對抗能力。因爲其做爲「系統激活工具」具備入場時間較早的優點，使 用驅動與安全軟件進行主動對抗，使安全軟件沒法正常運行。在其第三個變種中，其加入了文件保護和註冊表保護，不但增長了病毒受害者自救的難度，還使得反病 毒工程師在處理用戶現場時沒法在短期以內發現病毒文件和病毒相關的註冊表項。其第四個變種中，利用WMI中的永久事件消費者 （ActiveScriptEventConsumer）註冊惡意腳本，利用定時器觸發事件每隔一段時間就會執行一段VBS腳本，該腳本執行以後會在瀏覽 器快捷方式後面添加網址參數。該變種在感染計算機後，不會在計算機中產生任何文件，使得病毒分析人員很難發現病毒行爲的來源，大大增長了病毒的查殺難度。 經過以下表格咱們能夠更直觀的瞭解其發展過程：

表一、「小馬激活」病毒發展過程

       經過咱們近期接到的用戶反饋，咱們發現了「小馬激活」病毒的新變種。該變種所運用的對抗技術十分複雜，進一步增長了安全軟件對其有效處理的難度，甚至使得病毒分析人員經過遠程協助處理用戶現場變得更困難。這個「小馬激活」病毒的最新變種運行界面以下：

圖一、 「小馬激活」新變種運行界面

2、樣本分析

       該病毒釋放的驅動文件經過VMProtect加殼，並經過過濾驅動的方式攔截文件系統操做（圖2），其目的是保護其釋放的動態庫文件沒法被刪除。經過文件 系統過濾驅動，使得系統中的其餘進程在打開該驅動文件句柄時得到倒是tcpip.sys文件的句柄，若是強行刪除該驅動文件則會變爲刪除 tcpip.sys文件，形成系統沒法正常鏈接網絡。咱們經過下圖能夠看到火絨劍在查看文件信息時，讀取的實際上是tcpip.sys文件的文件信息。因爲 此功能，使得病毒分析人員沒法在系統中正常獲取該驅動的樣本。

圖二、文件驅動鉤子和關機通知

       該驅動經過註冊關機回調（圖2）在系統關機時該驅動會將自身在%SystemRoot%\System32\Drivers目錄從新拷貝成隨機名字的新驅 動文件，並將驅動信息寫入註冊表，以便於下一次時啓動加載。在驅動加載以後，其會將locc.dll注入到explorer.exe進程中。該驅動對 locc.dll文件也進行了保護，當試圖修改或者刪除該動態庫時，會彈出錯誤提示「文件過大」。如圖3所示：

圖三、文件驅動鉤子和關機通知

      當病毒的驅動將locc.dll注入到explorer.exe進程後會執行首頁劫持相關邏輯。經過火絨劍的內存轉儲，咱們能夠看到該病毒鎖定的全部網址。

http://qd.227237.com/?sg_64

http://qd.227237.com/?360js_64

http://qd.227237.com/?sjzc_64

http://qd.227237.com/?hh_64

http://qd.227237.com/?op_64

http://qd.227237.com/?gg_64

http://qd.227237.com/?pg_64

http://qd.227237.com/?ay_64

http://qd.227237.com/?2345_64

http://qd.227237.com/?bd_64

http://qd.227237.com/?lb_64

http://qd.227237.com/?qq_64

http://qd.227237.com/?114_64

http://qd.227237.com/?115_64

http://qd.227237.com/?tb_64

http://qd.227237.com/?jz_64

http://qd.227237.com/?sy_64

 

       經過抓取上述網址中的網頁信息（圖4），咱們能夠發現上述網址中存放的實際上是一個跳轉頁。經過使用跳轉頁面，病毒做者能夠靈活調整計費連接和推廣網址，而且對來自不一樣瀏覽器的流量進行分類統計。

圖四、網頁內容

3、信息追蹤

        經過測試咱們現有的最新該病毒樣本，咱們發現該病毒不但推廣了國內的一些導航站和電商門戶網站（圖5），還推廣了仿冒的小馬激活網站（www.xiaomajihuo.net）用來進一步傳播病毒。其推廣網址以下：

淘寶特賣：temai.taobao.com

Hao123網址導航：cn.hao123.com

京東商城：www.jd.com

淘寶聚划算：ju.taobao.com

2345影視大全：v.2345.com

愛淘寶：ai.taobao.com

愛漂亮眉：www.aimm.cc

仿冒的小馬激活網站：www.xiaomajihuo.net

圖五、病毒推廣效果圖

       仿冒的小馬激活網站訪問效果以下：

圖六、網址訪問效果圖

       病毒下載地址爲百度雲盤下載連接，以下圖所示：

圖七、百度雲盤連接訪問效果圖

         

經過反查仿冒的「小馬激活」官網（xiaomajihuo.net）域名，咱們找到了其域名註冊時使用的郵箱[url=mailto:—vo******o@enamewhois.com]—vo******o@enamewhois.com[/url]。經過該郵箱，咱們找到了全部使用該郵箱註冊的域名信息。以下圖所示：

圖八、使用vo******o@enamewhois.com郵箱註冊的域名關係圖

      經過訪問上述關係圖中的域名，咱們發現：

• 該「病毒推廣公司」利用「小馬激活」病毒進行推廣，利用多個仿冒小馬激活官網在互聯網中進行傳播。
• 6位數字加「.com」結尾的域名（下文稱數字域名）中用來架設其首頁劫持要用到的跳轉頁面。
  

       因爲咱們經過「xiaomajihuo.net」域名能夠獲取的信息比較有限，咱們對關係網中（上圖所示）的「xiaomajihuo.cn」域名進行了反查。咱們發現有超過50個域名指向這一IP地址，以下圖所示：

圖九、同一IP下的域名列表

        觀察這些域名，很容易發現有多個域名帶有「xiaomajihuo」的字樣。在這些域名中，還有不少XM開頭的域名，咱們猜想其本意應爲「小馬」的拼音縮寫。在對其關聯網址進行訪問時咱們發現：

        帶有「xiaomajihuo」字樣的網址所有都是仿冒的「小馬激活」官網，其網頁樣式與前文提到的「www.xiaomajihuo.net」樣式相同。

        XM開頭的全部網址都爲該病毒的下載頁面，其網頁樣式模仿了當前的主流下載站，具備很強的迷惑性（圖10）。

圖十、網頁訪問效果圖

       在網址www.ydjph.com和[url=http://bbs.huorong.cn/www.yrdqm.com]www.yrdqm.com[/url]中，咱們發現雖然頁面樣式相同，下載文件名爲「win7 activation v1.8」，根據咱們的分析，該樣本也同爲該病毒，其下載地址也爲百度雲盤連接，連接地址爲「pan.baidu.com/s/1o79KKII」。

在域名列表中的其餘域名，雖然看上去名字隨機性很強，可是咱們經過訪問其頁面後發現以下網址爲該「病毒生產廠商」的業務推廣站：

www.hrxwh.com

www.rymsq.com

www.gjssb.com

www.hlbfs.com

       就在正在完成這份文檔的同時，最後兩個域名內容已經變爲了相似圖10的病毒下載頁面。

       根據工商局企業查詢系統和搜索引擎的查詢結果，上述網址中出現的公司經營範圍均爲傳統行業，且均有正規官網。因此上述網址中出現的公司名爲盜用（圖 11），用來擾亂人們視線。其公司服務項目中涵蓋了廣告推廣、網頁製做、軟件開發和技術支持（圖12），這與「小馬激活」病毒的首頁劫持推廣功能相吻合， 即該病毒就是該「病毒推廣公司」的廣告推廣工具之一。以下圖所示：

圖十一、其盜用的公司名

圖十二、「病毒推廣公司」的業務推廣站

       在同一IP下還有兩個軟件推廣網址，分別推廣QQ瀏覽器（圖13）和2345瀏覽器（圖14），其推廣域名以下。

www.ytjdl.com

www.ksqdq.com

       軟件推廣網址以下圖所示：

圖1三、該IP下的QQ瀏覽器推廣網址

圖1四、該IP下的QQ瀏覽器推廣網址

       咱們進一步查詢了「xiaomajihuo.com.cn」域名信息的相互聯繫（圖15），咱們不難發現與該域名相關的大部分仿冒的小馬激活網站都是使用 [url=mailto:「as*****0@qq.com]「as*****0@qq.com[/url]」這個QQ郵箱進行註冊。經過對其QQ郵箱的查詢，咱們定位到了該病毒做者的QQ號碼爲133*****7，名叫「葉*」。

圖1五、xiaomajihuo.com.cn域名信息聯繫圖

        樣本在執行過程當中還訪問了網址「tongji.227237.com」,經過訪問該網址咱們瞭解到在該域名所在服務器中架設着一套「推廣流量監控系統」（圖16），全部其推廣的流量都會先通過該站，以用於其查看推廣效果。

圖1六、該病毒的流量統計系統

      根據這些線索，咱們理清了該「惡意推廣」業務的主要流程。其首先製做系統激活工具做爲其「惡意推廣工具」，以後再經過百度推廣等推廣方式進行大範圍擴 散，在用戶運行這些程序以後，將用戶首頁劫持爲數字域名，在該域名下的網頁中加入跳轉網址和付費連接，最終以推廣互聯網公司的產品或主頁進行謀利。

       爲了躲避安全軟件的網址攔截，其申請的數字域名變更很是頻繁，大部分數字域名已經沒法訪問，如今依然能夠存活的跳轉站除了上文中提到的 「227237.com」還有「827837.com」和「107117.com」，他們分別是「愛淘寶」和「搜狗網址導航」的推廣連接，以下圖所示：

圖1七、827837.com下跳轉頁內容

圖1八、827837.com推廣「愛淘寶」效果圖

圖1九、107117.com下跳轉頁內容

圖20、107117.com推廣「搜狗網址導航」效果圖

        經過上述信息，咱們能夠清楚看到，絕大部分推廣的網址都來自於國內的大型互聯網企業，阿里巴巴、京東商城這種超大型網絡公司甚至也在其中之列。因爲 當今國內互聯網企業之間的競爭日益激烈，國內的大型互聯網公司爲了推廣本身的產品更是能夠「豪擲千金」，這一現象極大地刺激了「廣告推廣公司」的迅速壯 大，其推廣手段也不斷翻新，更有甚者製做病毒進行廣告推廣，使得國內的互聯網大環境中廣告類病毒（Adware）的種類與傳播範圍在短期以內迅速增長。 普通用戶在使用計算機時只要 「稍有疏忽」就會被捆綁上許多本身本不須要的應用，或者是首頁被隨意修改、瀏覽網頁時被加上廣告。廣大用戶深受其害，可是某些軟件廠商不但沒有加大推廣商 的審查力度，反而爲了提升推廣「成功率」提升了其軟件的 「卸載難度」，使用戶更加苦不堪言。咱們從而能夠得出結論，廣告推廣商與「病毒生產廠商」之間存在很大的交集， 這些「病毒推廣公司」的推廣業務主要服務於國內的主流互聯網企業並不斷地從中謀取暴利。利用這種盈利模式，「病毒推廣公司」能夠不斷推進其黑色鏈條的運 轉，對互聯網行業的健康發展形成十分惡劣的影響。

最後，咱們在工信部的《ICP/IP地址/域名信息備案管理系統》上找到了與「vo******o@enamewhois.com」郵箱相關網站的ICP備案信息，咱們以域名備案時間爲主軸，梳理出了其「病毒推廣公司」的主要成員信息及關鍵運營過程。

2015年7月13日，葛**首先備案了網站域名「301311.com」和上文中提到的「愛淘寶」推廣網址「827837.com」 （圖21）。「301311.com」域名的「go」目錄下存放着衆多被推廣的網址跳轉頁。這與該類型第一個變種出現的時間基本吻合。

圖2一、葛**備案的網站信息

             2015年9月21日，殷**備案了網站域名「ujisu.com」和「231238.com」（圖22）。前者爲「U盤極速啓動」官網，該工具可用於制 做U盤啓動盤。火絨但願廣大用戶在使用操做系統或者軟件時能夠支持正版，謹慎對待此類工具。與後者同時備案的同一類型域名還有不少，但都已沒法訪問 。

圖2二、殷**備案的網站信息

            2015年12月9日，楊**使用「上海******有限公司」的公司名備案了域名「xiaomajihuo.com」和「227237.com」（圖 23）。前者爲仿冒的小馬激活官網，該網址如今已沒法訪問，後者域名架設着其 「推廣流量監控系統」，因此初步推斷其可能爲該「病毒推廣公司」的主要成員。

圖2三、楊**備案的網站信息

           因爲2016年初，國內不少安全廠商對「小馬激活」進行了全面查殺，其域名也被不少安全軟件攔截。因此在2016年1月13日至20日，張**、 葉*、陳*等人備案了以下五個域名用於架設仿冒的小馬激活官網（圖24）。其域名開放時間有很強的隨機性，因此當安全廠商認爲其域名已經廢棄，並將攔截記 錄「優化」掉的時候，其域名頗有可能會再次「復活」。

xiaomajihuo.cn

xiaomajihuo.net

xiaomajihuo.com.cn

xiaomajihuo.org

xiaomajihuo.org.cn

圖2四、2016年1月13日至20日註冊的假小馬激活域名

              2016年3月20日，楊**在有關部門備案了域名「wanmeijihuo.com」（圖25）。至今爲止，該域名並未啓用，但根據備案時間咱們 初步推斷，該域名頗有可能爲其下一「惡意推廣產品」的主要傳播渠道。針對該狀況，火絨已經針對其域名進行了提早攔截。

圖2五、「wangmeijihuo.com」域名備案信息

       爲完全查明事實真相，咱們瀏覽了小馬激活所謂的官方網站（www.pccppc.com），當進入其官網時頁面最上方彈出了其「嚴正聲明」，在其小馬激活的下載專區咱們發現其中止更新的公告。頁面中還給出了其官方QQ羣號，提示信息中寫着「小馬工具箱V1.01版已經發布」字樣。以下圖：

圖2六、「小馬激活官網」訪問效果圖

       咱們嘗試加入該羣，咱們發現其羣共享文件中並無其所謂的「小馬工具箱」，而是有兩個最近一個月左右上傳的「小馬激活工具」，其文件上傳者就是其QQ羣的建立者（圖27-28），也就是其所謂「小馬官方人士」上傳。

圖2七、小馬激活官方QQ羣文件共享展現圖

圖2八、羣成員展現圖

       在下載時，咱們發現文件剛剛落地就被火絨的下載掃描報毒（圖29）。通過咱們進一步分析，其樣本正是咱們在概述中所提到的「小馬激活」病毒的第四類變種。這些證據指明，原「小馬激活工具」的製做團隊可能與該病毒運做團隊之間存在着直接關係。

圖2九、火絨下載掃描效果圖

      咱們經過上述全部跟蹤分析，推斷了該「病毒推廣公司」的運做體系和業務結構。以下圖所示：

圖30、「病毒推廣公司」的運做體系和業務結構圖

      該「病毒推廣公司」涉及到「白、灰、黑」三個領域的業務。

• 「白」：軟件推廣業務，主要經過吸引用戶流量到其推廣頁面的方式幫助大型互聯網企業進行廣告推廣，已知推廣對象包括QQ瀏覽器和2345瀏覽器等；
• 「灰」 ：互聯網行業內的灰色地帶，包括「U盤極速啓動」和「小馬激活工具」。因爲國內互聯網大環境對於版權的審查力度並非十分嚴格，使得該類產品在市場中盛行，用戶對該類產品也產生了依賴性；
• 「黑」 ：與病毒相關的「黑色產業」，該公司製做「小馬激活」病毒進行流量劫持，利用用戶對盜版系統激活這一剛需，藉助搜索引擎優化及早期「口碑營銷」，在互聯網中大範圍傳播；
  

4、綜述

        隨着國內互聯網企業之間的競爭進入白熱化，產品推廣做爲最接近市場的最後環節成爲各大軟件廠商用來競爭的衆矢之的。國內的各個互聯網公司不惜一切代 價地向市場推廣本身的軟件產品，因爲受到利益驅使軟件推廣商在推廣力度上不斷加大，最終跨過網絡安全的紅線，製做病毒推廣工具進行廣告推廣。做爲收益方， 被推廣的互聯網企業也並無在發現這一現象後及時制止，而是繼續爲這些「病毒推廣廠商」所提供的服務買單，促使了整個黑色產業鏈條的造成。

       對於「小馬激活」病毒，在國內安全廠商開始對其進行全面查殺時，其賊喊抓賊、監守自盜，使不少用戶甚至安全廠商都矇在鼓裏。其利用用戶的長期信任與用戶對 於系統激活工具的麻痹大意，使得該病毒在短期以內大範圍傳播。其使用十分惡劣的手段進行廣告推廣，嚴重影響了用戶對計算機的正常使用，甚至對互聯網行業 的發展形成了不良影響。放眼中國互聯網市場，「小馬激活」病毒也只是 「病毒推廣」黑色產業鏈中的一個縮影，相似於「小馬激活」病毒製做團體的「病毒推廣廠商」還有不少。究其本質，監管力度不足和被推廣的互聯網企業對於推廣 手段的聽任、不做爲纔是形成「病毒推廣廠商」肆意妄爲的主要緣由。

       隨着中國互聯網熱潮的到來，近年來崛起的互聯網公司如同雨後春筍通常快速增多，人們的心裏愈來愈浮躁，人們漸漸變得只看重結果不在意過程，最終捨本逐末， 變成了追逐利潤的淘金工具。做爲互聯網企業，其本職工做應該是對於其產品及服務的精益求精，更多的是要爲用戶着想，由於咱們的身上肩負着用戶對咱們的信 任。