随着中国互联网行业的欣欣向荣,软件推广可以带来巨大的利益,使得原本处在“黑产”中的“病毒制造者”纷纷变成软件推广渠道商,利用病毒技术和不法手段在互联网市场中大肆“吸金”。许多知名商业软件(包括某些安全软件)在明明知情的情况下,却利用病毒或黑产组织推广自家产品,并按照推广效果向病毒制造者支付大量费用,这是病毒组织疯狂作恶的最大动力。可以说,是知名软件公司们“喂养”着众多病毒制造者。
火绒安全实验室近期挖掘出一组病毒,长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件(游戏修改器、系统周边工具等)在下载站中进行传播,在用户运行后,该病毒会利用国内某知名互联网公司的软件升级程序下载推广软件,甚至下载病毒驱动进行恶意推广。当用户发现自己可能中毒的时候,计算机中已经装满了各式各样的软件(图1-1)。
图1-1、病毒传播、推广过程示意图
近期收到用户反馈,计算机中会不间断弹出的广告窗口,并且会在每天开机后都会无故被安装很多软件。我们在处理用户现场时采集到了一个可疑驱动程序,原本以为这只是一般的中毒事件,但随后我们发现事情并不简单。
我们通过对用户拦截日志和火绒威胁情报分析系统中的数据分析,以用户视角还原了病毒传播过程,最终推导出这个恶意推广程序传播的源头。
二、样本分析在用户现场提取到名为“LvQiu.sys”可疑驱动程序。经过分析,“LvQiu.sys”加载后会向C:\Windows\LakeView\目录释放名为“LvQiu.dll”动态库,并且注入到explorer.exe中,在explorer.exe中的“LvQiu.dll”会在内存解密一个新的动态库,该动态库通过explorer.exe连接..3.52服务器的端口通信,获取推广软件的下载地址。该IP地址所对应的服务器会校验数据中包含的MAC地址来决定是否下载安装推广软件(图2-1)。
图2-1:被注入后的explorer.exe疯狂下载推广软件
图2-1中我们可以看出,该病毒利用explorer.exe下载大量推广软件,安装到用户计算机获得利益。虽然已经可以检测病毒驱动和动态库文件(检测名称为“TrojanDropper/Toxik.a!sys“和”Trojan/Toxik.a“),但是病毒的释放者我们还并未找到,没有释放者无法解释病毒如何进入用户计算机的。
三、还原事件根据病毒与服务器通信的IP地址..3.52指向hxxp://北京治疗白癜风哪家医院效果好中科白癜风医院喜迎国庆