日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。 一、概述 日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用“火绒安全软件”对电脑进行扫描查杀。 图1:“快压”给用户电脑强制推广软件 用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome 主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.ff”。病毒入侵电脑后,会劫持用户首页。 "快压”自身也存在多种流氓行为,会在用户电脑中弹出广告、创建“淘宝”、“百度”桌面快捷方式。并且“快压”会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。 图2:推广弹窗无关闭按钮 此外,“快压”还会推广“小黑记事本”、“ABC 看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然“快压”为上海广乐网络科技有限公司旗下产品,“小黑记事本”、“ABC 看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。 “火绒安全软件”无需升级即可查杀木马病毒“Trojan/StartPage.ff”,将火绒升级到最新版,即可拦截“快压”上述流氓行为。 二、病毒来源 近日,火绒安全团队通过火绒威胁情报系统发现木马病毒 Trojan/StartPage.ff 的感染量在近一个月内迅速增加,随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线,如下图所示: 近半年的感染量 火绒于 2016 年已查杀此病毒,目前大部分杀毒软件厂商也已查杀此病毒,该病毒在 VirusTotal 上的查杀情况,如下图所示: 该病毒在 VirusTotal 上的查杀情况 通过样本溯源分析,我们发现此类病毒属于一款叫“WinHome 主页卫士”的,但是我们在互联网上并未找到此程序的官网,只找到其推广页面。如下图所示: 主页卫士推广界面 根据推广页面提示,该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,劫持浏览器首页。该安装包的数字签名是 SHANGHAIZHANMENG NETWORK TECHNOLOGY CO.,LTD.(上海展盟网络科技有限公司)。其静默安装包属性,如下图所示: 主页卫士静默安装包属性 在分析过程中,我们发现快压压缩软件会推广此病毒程序,如下图所示: 快压推广主页卫士 快压安装包会向 hxxp://i.kpzip.com/n/install/tui/show.txt 请求捆绑相关的配置文件,并会根据配置文件中 BlockedProcessList,和 InjectBlockedProcessList 判断 360 安全卫士,金山毒霸,电脑管家等多款杀毒软件的进程是否运行,以此来选择推广策略,例如,当 360Tray.exe 和 kxetray.exe 两个进程同时存在时,则不执行捆绑逻辑,以此来躲避杀毒软件,一般恶意代码才会使用这种判断逻辑。配置文件信息,如下图所示: 捆绑所需配置文件 三、 详细分析 1. 软件推广 除了捆绑下载锁首病毒之外,我们发现快压压缩软件在程序升级时会推广其他软件,具体推广逻辑如下所示。 快压程序在升级时会从 hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe 下载一个名为 KuaizipUpdate.exe 的流氓软件,该流氓软件会向云端请求推广软件相关的策略信息,并根据当前用户的计算机环境,执行不同的推广策略,以此获取利益。KuaizipUpdate.exe 文件属性,如下图所示: KuaizipUpdate.exe 文件属性 KuaizipUpdate.exe 主要逻辑,如下图所示: KuaizipUpdate.exe 执行逻辑 KuaizipUpdate.exe 运行时,会向 hxxp://i.kpzip.com/n/tui/update_agency/kb.xml 请求判断捆绑环境所需的策略文件,解密后的部分策略文件,如下图所示: 解密后策略文件 该策略文件中使用到的标签,如下图所示: 判断标签 KuaizipUpdate.exe 会主动判断一些常见的杀毒软件进程,如下图所示: KuaizipUpdate.exe 判断的杀软进程 以如下策略为例,当渠道号为“rytx2_“且存在进程”QQPCRTP.exe”时,就从 url 对应的地址获取安装包下载路径和运行所需的命令行配置文件。 示例策略 获取的安装包下载路径和运行所需命令行配置文件,解密后,如下图所示: 配置文件 然后 KuaizipUpdate.exe 会解析配置文件中安装包的下载地址和运行参数,下载并运行安装包。安装包在运行之后会解析其参数,并创建 KZTui.exe 执行推广逻辑的进程。 拉起 KZTui.exe KZTui.exe 在运行后会向 hxxp://bundle.kpzip.com/n/kztui/kb/def.txt 请求推广软件相关的配置信息。如下图所示: 推广软件配置文件 我们发现,被推广的软件中,有一半是属于上海展盟网络科技有限公司。被推广的软件列表,如下图所示: 被推广的软件列表 KZTui.exe 会根据配置文件中对应的 Reg 字段来判断当前系统是否安装此类软件,并弹窗提示用户安装列表中未安装的三种软件,值得注意的是,此推广弹窗,并无关闭按钮。推广弹窗,如下图所示: 推广弹窗 除了捆绑软件之外,KZTui.exe 还会在桌面创建垃圾快捷方式,如下图所示: 创建的桌面快捷方式 2. 广告弹窗 快压程序安装时,会在安装目录的 x86 目录下释放一个 UpdateChecker.exe 的流氓软件,文件描述为“快压检查更新程序”,文件属性,如下图所示: UpdateChecker.exe 文件属性 每次启动电脑之后,快压右键菜单拓展程序 KuaiZipShell.dll 会通过 explorer.exe 启动 UpdateChecker.exe,火绒剑中观察其启动流程,如下图所示: UpdateChecker.exe 启动流程 UpdateChecker 启动之后,会检测当前运行环境,并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程,如下图所示: 火绒剑监控 UpdateChecker.exe 运行流程 UpdateChecker 运行之后,会向 hxxp://i.kpzip.com/n/updatechecker/urls.xml 请求配置文件,该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示: url.xml 解密后内容 之后会去配置文件中对应的地址请求判断条件相关的配置文件,以 hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml 为例,判断依据主要有是否勾选热点新闻,低版本和过白版本,特殊渠道,杀软坏境,以及时间段等,判断逻辑跟软件推广相关代码逻辑相同,此处不做赘述。解密后部分配置文件,如下图所示: 判断是否弹窗的配置文件 如果当前环境满足判断条件中的一种,就取 kun_bang 对应的 url,该 url 对应的配置文件中存放要下载的广告程序网址,文件保存路径,以及执行时所需的参数,如下图所示: 下载弹窗程序所需的配置文件 由于配置文件是在云端可控的,该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序,弹窗广告程序文件夹,如下图所示: 随机路径+随机文件名的方式对抗弹窗拦截软件 下载的广告程序属性,如下图所示: 文件属性 小贴士和迷你新闻运行之后会弹广告窗口,如下图所示: 小贴士对应广告弹窗 迷你新闻广告弹窗 四、同源性分析 经过火绒安全团队分析,上海广乐网络科技有限公司旗下产品快压(速压)和上海展盟网络科技有限公司旗下小黑记事本和 ABC 看图等软件均携带此类流氓软件。经过查询两家企业的注册信息,我们发现这两家公司的法定代表人是同一人,其注册邮箱也相同。企业注册信息对比,如下图所示: 两家企业的注册信息对比 两家企业旗下产品的部分文件属性,如下图所示: 快压安装包及携带的流氓程序属性 ABC 看图安装包及携带的流氓程序属性 小黑记事本安装包及携带的流氓程序属性 快压迷你新闻页弹窗和 ABC 看图,小黑记事本对比,如下图所示: 迷你新闻弹窗对比 经过我们分析,发现其代码也具有高度相似性,且其运行时创建的互斥量也完全相同,部分代码比较,如下图所示: 代码相似性比较 五、附录 文中涉及样本 SHA256: |