“小马激活”病毒新变种分析报告

在线详细报告地址 http://files.cnblogs.com/files/microzone/%E2%80%9C%E5%B0%8F%E9%A9%AC%E6%BF%80%E6%B4%BB%E2%80%9D%E7%97%85%E6%AF%92%E6%96%B0%E5%8F%98%E7%A7%8D%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf

 

 1、概述

        随着安全软件与病毒之间攻防对抗的不断白热化，病毒的更新换代也日益频繁，其所使用的手段也日趋多样化。以最近大范围流行的“小马激活”病毒为例，其传播至今，据火绒发现的样本中已经演变出了五个变种。“小马激活”病毒，咱们以前称其为“苏拉克”病毒（详见《安全警报：恶性病毒“苏拉克”正在蔓延》，http://bbs.huorong.cn/thread-12375-1-1.html） ，由于其核心驱动名为“surak.sys”故得此名，可是随着其不断地改变与安全软件的对抗方式，“苏拉克”这个名字已经不被病毒做者使用，因此咱们将其统称为“小马激活”病毒。

       “小马激活”病毒的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项，以达到首页劫持的目的。因为安全软件的查杀和首页保 护功能，该版本并无长时间流行太长时间。其第二变种，在原有基础上加强了与安全软件的对抗能力。因为其做为“系统激活工具”具备入场时间较早的优点，使 用驱动与安全软件进行主动对抗，使安全软件没法正常运行。在其第三个变种中，其加入了文件保护和注册表保护，不但增长了病毒受害者自救的难度，还使得反病 毒工程师在处理用户现场时没法在短期以内发现病毒文件和病毒相关的注册表项。其第四个变种中，利用WMI中的永久事件消费者 （ActiveScriptEventConsumer）注册恶意脚本，利用定时器触发事件每隔一段时间就会执行一段VBS脚本，该脚本执行以后会在浏览 器快捷方式后面添加网址参数。该变种在感染计算机后，不会在计算机中产生任何文件，使得病毒分析人员很难发现病毒行为的来源，大大增长了病毒的查杀难度。 经过以下表格咱们能够更直观的了解其发展过程：

表一、“小马激活”病毒发展过程

       经过咱们近期接到的用户反馈，咱们发现了“小马激活”病毒的新变种。该变种所运用的对抗技术十分复杂，进一步增长了安全软件对其有效处理的难度，甚至使得病毒分析人员经过远程协助处理用户现场变得更困难。这个“小马激活”病毒的最新变种运行界面以下：

图一、 “小马激活”新变种运行界面

2、样本分析

       该病毒释放的驱动文件经过VMProtect加壳，并经过过滤驱动的方式拦截文件系统操做（图2），其目的是保护其释放的动态库文件没法被删除。经过文件 系统过滤驱动，使得系统中的其余进程在打开该驱动文件句柄时得到倒是tcpip.sys文件的句柄，若是强行删除该驱动文件则会变为删除 tcpip.sys文件，形成系统没法正常链接网络。咱们经过下图能够看到火绒剑在查看文件信息时，读取的实际上是tcpip.sys文件的文件信息。因为 此功能，使得病毒分析人员没法在系统中正常获取该驱动的样本。

图二、文件驱动钩子和关机通知

       该驱动经过注册关机回调（图2）在系统关机时该驱动会将自身在%SystemRoot%\System32\Drivers目录从新拷贝成随机名字的新驱 动文件，并将驱动信息写入注册表，以便于下一次时启动加载。在驱动加载以后，其会将locc.dll注入到explorer.exe进程中。该驱动对 locc.dll文件也进行了保护，当试图修改或者删除该动态库时，会弹出错误提示“文件过大”。如图3所示：

图三、文件驱动钩子和关机通知

      当病毒的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑。经过火绒剑的内存转储，咱们能够看到该病毒锁定的全部网址。

http://qd.227237.com/?sg_64

http://qd.227237.com/?360js_64

http://qd.227237.com/?sjzc_64

http://qd.227237.com/?hh_64

http://qd.227237.com/?op_64

http://qd.227237.com/?gg_64

http://qd.227237.com/?pg_64

http://qd.227237.com/?ay_64

http://qd.227237.com/?2345_64

http://qd.227237.com/?bd_64

http://qd.227237.com/?lb_64

http://qd.227237.com/?qq_64

http://qd.227237.com/?114_64

http://qd.227237.com/?115_64

http://qd.227237.com/?tb_64

http://qd.227237.com/?jz_64

http://qd.227237.com/?sy_64

 

       经过抓取上述网址中的网页信息（图4），咱们能够发现上述网址中存放的实际上是一个跳转页。经过使用跳转页面，病毒做者能够灵活调整计费连接和推广网址，而且对来自不一样浏览器的流量进行分类统计。

图四、网页内容

3、信息追踪

        经过测试咱们现有的最新该病毒样本，咱们发现该病毒不但推广了国内的一些导航站和电商门户网站（图5），还推广了仿冒的小马激活网站（www.xiaomajihuo.net）用来进一步传播病毒。其推广网址以下：

淘宝特卖：temai.taobao.com

Hao123网址导航：cn.hao123.com

京东商城：www.jd.com

淘宝聚划算：ju.taobao.com

2345影视大全：v.2345.com

爱淘宝：ai.taobao.com

爱漂亮眉：www.aimm.cc

仿冒的小马激活网站：www.xiaomajihuo.net

图五、病毒推广效果图

       仿冒的小马激活网站访问效果以下：

图六、网址访问效果图

       病毒下载地址为百度云盘下载连接，以下图所示：

图七、百度云盘连接访问效果图

         

经过反查仿冒的“小马激活”官网（xiaomajihuo.net）域名，咱们找到了其域名注册时使用的邮箱[url=mailto:—vo******o@enamewhois.com]—vo******o@enamewhois.com[/url]。经过该邮箱，咱们找到了全部使用该邮箱注册的域名信息。以下图所示：

图八、使用vo******o@enamewhois.com邮箱注册的域名关系图

      经过访问上述关系图中的域名，咱们发现：

• 该“病毒推广公司”利用“小马激活”病毒进行推广，利用多个仿冒小马激活官网在互联网中进行传播。
• 6位数字加“.com”结尾的域名（下文称数字域名）中用来架设其首页劫持要用到的跳转页面。
  

       因为咱们经过“xiaomajihuo.net”域名能够获取的信息比较有限，咱们对关系网中（上图所示）的“xiaomajihuo.cn”域名进行了反查。咱们发现有超过50个域名指向这一IP地址，以下图所示：

图九、同一IP下的域名列表

        观察这些域名，很容易发现有多个域名带有“xiaomajihuo”的字样。在这些域名中，还有不少XM开头的域名，咱们猜想其本意应为“小马”的拼音缩写。在对其关联网址进行访问时咱们发现：

        带有“xiaomajihuo”字样的网址所有都是仿冒的“小马激活”官网，其网页样式与前文提到的“www.xiaomajihuo.net”样式相同。

        XM开头的全部网址都为该病毒的下载页面，其网页样式模仿了当前的主流下载站，具备很强的迷惑性（图10）。

图十、网页访问效果图

       在网址www.ydjph.com和[url=http://bbs.huorong.cn/www.yrdqm.com]www.yrdqm.com[/url]中，咱们发现虽然页面样式相同，下载文件名为“win7 activation v1.8”，根据咱们的分析，该样本也同为该病毒，其下载地址也为百度云盘连接，连接地址为“pan.baidu.com/s/1o79KKII”。

在域名列表中的其余域名，虽然看上去名字随机性很强，可是咱们经过访问其页面后发现以下网址为该“病毒生产厂商”的业务推广站：

www.hrxwh.com

www.rymsq.com

www.gjssb.com

www.hlbfs.com

       就在正在完成这份文档的同时，最后两个域名内容已经变为了相似图10的病毒下载页面。

       根据工商局企业查询系统和搜索引擎的查询结果，上述网址中出现的公司经营范围均为传统行业，且均有正规官网。因此上述网址中出现的公司名为盗用（图 11），用来扰乱人们视线。其公司服务项目中涵盖了广告推广、网页制做、软件开发和技术支持（图12），这与“小马激活”病毒的首页劫持推广功能相吻合， 即该病毒就是该“病毒推广公司”的广告推广工具之一。以下图所示：

图十一、其盗用的公司名

图十二、“病毒推广公司”的业务推广站

       在同一IP下还有两个软件推广网址，分别推广QQ浏览器（图13）和2345浏览器（图14），其推广域名以下。

www.ytjdl.com

www.ksqdq.com

       软件推广网址以下图所示：

图1三、该IP下的QQ浏览器推广网址

图1四、该IP下的QQ浏览器推广网址

       咱们进一步查询了“xiaomajihuo.com.cn”域名信息的相互联系（图15），咱们不难发现与该域名相关的大部分仿冒的小马激活网站都是使用 [url=mailto:“as*****0@qq.com]“as*****0@qq.com[/url]”这个QQ邮箱进行注册。经过对其QQ邮箱的查询，咱们定位到了该病毒做者的QQ号码为133*****7，名叫“叶*”。

图1五、xiaomajihuo.com.cn域名信息联系图

        样本在执行过程当中还访问了网址“tongji.227237.com”,经过访问该网址咱们了解到在该域名所在服务器中架设着一套“推广流量监控系统”（图16），全部其推广的流量都会先通过该站，以用于其查看推广效果。

图1六、该病毒的流量统计系统

      根据这些线索，咱们理清了该“恶意推广”业务的主要流程。其首先制做系统激活工具做为其“恶意推广工具”，以后再经过百度推广等推广方式进行大范围扩 散，在用户运行这些程序以后，将用户首页劫持为数字域名，在该域名下的网页中加入跳转网址和付费连接，最终以推广互联网公司的产品或主页进行谋利。

       为了躲避安全软件的网址拦截，其申请的数字域名变更很是频繁，大部分数字域名已经没法访问，如今依然能够存活的跳转站除了上文中提到的 “227237.com”还有“827837.com”和“107117.com”，他们分别是“爱淘宝”和“搜狗网址导航”的推广连接，以下图所示：

图1七、827837.com下跳转页内容

图1八、827837.com推广“爱淘宝”效果图

图1九、107117.com下跳转页内容

图20、107117.com推广“搜狗网址导航”效果图

        经过上述信息，咱们能够清楚看到，绝大部分推广的网址都来自于国内的大型互联网企业，阿里巴巴、京东商城这种超大型网络公司甚至也在其中之列。因为 当今国内互联网企业之间的竞争日益激烈，国内的大型互联网公司为了推广本身的产品更是能够“豪掷千金”，这一现象极大地刺激了“广告推广公司”的迅速壮 大，其推广手段也不断翻新，更有甚者制做病毒进行广告推广，使得国内的互联网大环境中广告类病毒（Adware）的种类与传播范围在短期以内迅速增长。 普通用户在使用计算机时只要 “稍有疏忽”就会被捆绑上许多本身本不须要的应用，或者是首页被随意修改、浏览网页时被加上广告。广大用户深受其害，可是某些软件厂商不但没有加大推广商 的审查力度，反而为了提升推广“成功率”提升了其软件的 “卸载难度”，使用户更加苦不堪言。咱们从而能够得出结论，广告推广商与“病毒生产厂商”之间存在很大的交集， 这些“病毒推广公司”的推广业务主要服务于国内的主流互联网企业并不断地从中谋取暴利。利用这种盈利模式，“病毒推广公司”能够不断推进其黑色链条的运 转，对互联网行业的健康发展形成十分恶劣的影响。

最后，咱们在工信部的《ICP/IP地址/域名信息备案管理系统》上找到了与“vo******o@enamewhois.com”邮箱相关网站的ICP备案信息，咱们以域名备案时间为主轴，梳理出了其“病毒推广公司”的主要成员信息及关键运营过程。

2015年7月13日，葛**首先备案了网站域名“301311.com”和上文中提到的“爱淘宝”推广网址“827837.com” （图21）。“301311.com”域名的“go”目录下存放着众多被推广的网址跳转页。这与该类型第一个变种出现的时间基本吻合。

图2一、葛**备案的网站信息

             2015年9月21日，殷**备案了网站域名“ujisu.com”和“231238.com”（图22）。前者为“U盘极速启动”官网，该工具可用于制 做U盘启动盘。火绒但愿广大用户在使用操做系统或者软件时能够支持正版，谨慎对待此类工具。与后者同时备案的同一类型域名还有不少，但都已没法访问 。

图2二、殷**备案的网站信息

            2015年12月9日，杨**使用“上海******有限公司”的公司名备案了域名“xiaomajihuo.com”和“227237.com”（图 23）。前者为仿冒的小马激活官网，该网址如今已没法访问，后者域名架设着其 “推广流量监控系统”，因此初步推断其可能为该“病毒推广公司”的主要成员。

图2三、杨**备案的网站信息

           因为2016年初，国内不少安全厂商对“小马激活”进行了全面查杀，其域名也被不少安全软件拦截。因此在2016年1月13日至20日，张**、 叶*、陈*等人备案了以下五个域名用于架设仿冒的小马激活官网（图24）。其域名开放时间有很强的随机性，因此当安全厂商认为其域名已经废弃，并将拦截记 录“优化”掉的时候，其域名颇有可能会再次“复活”。

xiaomajihuo.cn

xiaomajihuo.net

xiaomajihuo.com.cn

xiaomajihuo.org

xiaomajihuo.org.cn

图2四、2016年1月13日至20日注册的假小马激活域名

              2016年3月20日，杨**在有关部门备案了域名“wanmeijihuo.com”（图25）。至今为止，该域名并未启用，但根据备案时间咱们 初步推断，该域名颇有可能为其下一“恶意推广产品”的主要传播渠道。针对该状况，火绒已经针对其域名进行了提早拦截。

图2五、“wangmeijihuo.com”域名备案信息

       为完全查明事实真相，咱们浏览了小马激活所谓的官方网站（www.pccppc.com），当进入其官网时页面最上方弹出了其“严正声明”，在其小马激活的下载专区咱们发现其中止更新的公告。页面中还给出了其官方QQ群号，提示信息中写着“小马工具箱V1.01版已经发布”字样。以下图：

图2六、“小马激活官网”访问效果图

       咱们尝试加入该群，咱们发现其群共享文件中并无其所谓的“小马工具箱”，而是有两个最近一个月左右上传的“小马激活工具”，其文件上传者就是其QQ群的建立者（图27-28），也就是其所谓“小马官方人士”上传。

图2七、小马激活官方QQ群文件共享展现图

图2八、群成员展现图

       在下载时，咱们发现文件刚刚落地就被火绒的下载扫描报毒（图29）。通过咱们进一步分析，其样本正是咱们在概述中所提到的“小马激活”病毒的第四类变种。这些证据指明，原“小马激活工具”的制做团队可能与该病毒运做团队之间存在着直接关系。

图2九、火绒下载扫描效果图

      咱们经过上述全部跟踪分析，推断了该“病毒推广公司”的运做体系和业务结构。以下图所示：

图30、“病毒推广公司”的运做体系和业务结构图

      该“病毒推广公司”涉及到“白、灰、黑”三个领域的业务。

• “白”：软件推广业务，主要经过吸引用户流量到其推广页面的方式帮助大型互联网企业进行广告推广，已知推广对象包括QQ浏览器和2345浏览器等；
• “灰” ：互联网行业内的灰色地带，包括“U盘极速启动”和“小马激活工具”。因为国内互联网大环境对于版权的审查力度并非十分严格，使得该类产品在市场中盛行，用户对该类产品也产生了依赖性；
• “黑” ：与病毒相关的“黑色产业”，该公司制做“小马激活”病毒进行流量劫持，利用用户对盗版系统激活这一刚需，借助搜索引擎优化及早期“口碑营销”，在互联网中大范围传播；
  

4、综述

        随着国内互联网企业之间的竞争进入白热化，产品推广做为最接近市场的最后环节成为各大软件厂商用来竞争的众矢之的。国内的各个互联网公司不惜一切代 价地向市场推广本身的软件产品，因为受到利益驱使软件推广商在推广力度上不断加大，最终跨过网络安全的红线，制做病毒推广工具进行广告推广。做为收益方， 被推广的互联网企业也并无在发现这一现象后及时制止，而是继续为这些“病毒推广厂商”所提供的服务买单，促使了整个黑色产业链条的造成。

       对于“小马激活”病毒，在国内安全厂商开始对其进行全面查杀时，其贼喊抓贼、监守自盗，使不少用户甚至安全厂商都蒙在鼓里。其利用用户的长期信任与用户对 于系统激活工具的麻痹大意，使得该病毒在短期以内大范围传播。其使用十分恶劣的手段进行广告推广，严重影响了用户对计算机的正常使用，甚至对互联网行业 的发展形成了不良影响。放眼中国互联网市场，“小马激活”病毒也只是 “病毒推广”黑色产业链中的一个缩影，相似于“小马激活”病毒制做团体的“病毒推广厂商”还有不少。究其本质，监管力度不足和被推广的互联网企业对于推广 手段的听任、不做为才是形成“病毒推广厂商”肆意妄为的主要缘由。

       随着中国互联网热潮的到来，近年来崛起的互联网公司如同雨后春笋通常快速增多，人们的心里愈来愈浮躁，人们渐渐变得只看重结果不在意过程，最终舍本逐末， 变成了追逐利润的淘金工具。做为互联网企业，其本职工做应该是对于其产品及服务的精益求精，更多的是要为用户着想，由于咱们的身上肩负着用户对咱们的信 任。