小马激活工具带毒,静默安装360、2345系列软件

小马激活工具带毒,静默安装360、2345系列软件插图

近期,火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒;【软件安装拦截】功能可拦截被推广的软件。

205db251db66400a990e97d236539a96被推广的软件

3d3892125a1542b5a57e48697642ac96病毒查杀图

通过百度搜索“激活工具”发现,排名靠前的三条搜索结果都在传播该病毒,这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。

64728dc9b7074597851f5ae6e786e7ef百度搜索结果

进一步溯源该激活工具的网址hxxp://wd9.hmd888.top,发现该域名属于“桂林市木兮网络科技有限公司”,该公司的网站备案信息,如下图所示:

dae8d9aa4dcd44a5ad4534f99f91075b该公司网站备案信息

详细分析

病毒启动后会从远程服务器上下载恶意配置信息,并执行对应的恶意行为,如:下载、执行任意文件,后台静默安装软件等。病毒的执行流程,如下图所示:

63388a68d69a4a4ea7a0e9033928fc4f

Setup_Activator.exe是初始化模块,该模块是个Autoit脚本编译的,并使用混淆手段来躲避杀毒软件查杀。相关代码,如下图所示:

1e3ad207657e45cfb0a3fc55ea84902c被混淆的代码

将其去混淆后,发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块,并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码,如下图所示:

abf4e6fa15c740f5a4d2add226a2971d释放激活工具和恶意模块代码

为恶意模块创建任务计划进行持久化,每次开机的时候都会启动。相关代码,如下图所示:

135305aca4ae4ad1a6b1de3809172912创建计划任务进行持久化

根据系统版本来执行不同的激活工具。相关代码,如下图所示:

a6e370851e12434e956171881a12ec3f根据系统版本的不同执行不同的激活工具

在kmsactivation.exe模块中,首先从hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt获取恶意配置信息,再根据恶意配置信息来执行特定的恶意行为,如:下载、执行任意文件,后台静默安装软件等。相关恶意配置信息,如下图所示:

1261be5a4f884ff79c9382dcc1fa340a恶意配置信息

根据恶意配置信息下载、执行任意文件。相关代码,如下图所示:

17181012d2e64ce783681b7b626848b8根据恶意配置信息下载、执行任意文件

该模块还会过滤指定城市,对指定城市以外的地方,额外安装一些软件(腾讯电脑管家),获取用户当前所在城市。相关代码,如下图所示:

a76cac40628546e2852e25430c47d6e0过滤用户所在城市

根据恶意配置信息,后台静默推广软件,并对指定城市以外的地方,额外安装一些软件(腾讯电脑管家)。相关代码,如下图所示:

3e1f42e9c4ec4a3ea8ab35627660eb69后台静默推广软件

附录

C&C服务器列表:

4ae8867ba2e848b695c4b9c687f2109a

病毒HASH:

9209c954293a4b92afada93d45b28300

© 版权声明
THE END
喜欢就支持一下吧
点赞18 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情