轉：商業公司以製作病毒為主業已有數十萬台電腦被感染

2018-12-20 Comments 0 Comment

日前，火絨安全團隊發現某商業公司製作的流量劫持病毒”FakeExtent”（產品名為”天馨氣象”），正通過”WIN7之家”等下載站中的多款激活工具大範圍傳播。該病毒入侵電腦後，會釋放多個惡意插件，篡改系統配置、劫持流量。通過”火絨威脅情報系統”監測和評估，已有數十萬台電腦被該病毒感染。

一、概述

目前，國內外安全軟件僅對該病毒進行查殺，並不查殺該病毒植入的某些惡意插件，這導致被感染用戶在主病毒被殺之後，依然面臨被攻擊的風險。2015年，360安全團隊曾曝光過該病毒團伙，之後該團伙有所收斂，最近他們重出江湖，並利用激活工具傳播病毒。

“火絨安全軟件”無需升級即可查殺該病毒，建議近期下載過下述軟件的用戶，盡快使用”火絨安全軟件”對電腦進行掃描查殺。

火絨工程師分析發現，病毒作者將病毒”FakeExtent”植入到”KMSTools”、”暴風激活工具V17.0″等軟件激活工具中，並上傳到”WIN7之家”等下載站中，用戶一旦下載並運行上述軟件，該病毒就會感染電腦，向用戶瀏覽器中安裝名為”天馨氣象”和”星馳天氣助手”病毒插件。並向IE瀏覽器中添加BHO插件。

上述惡意插件進入用戶電腦後，將會劫持瀏覽器流量、網頁廣告彈窗以及將下載的安裝包替換為病毒作者提供的渠道包，然後掛上和上游公司分成的計費名，以和其分成。

火絨工程師發現BHO插件帶有”上海旻嘟網絡科技有限公司”簽名，截至發稿，除火絨外，仍沒有安全廠商對該插件報毒。

根據火絨工程師溯源分析，此次火絨發現的病毒插件與2015年就被曝光過的病毒插件”叮叮天氣”公司法人信息基本一致，可以確認為同一個病毒製作團伙所為。

二、初步分析

前段時間火絨安全團隊發現一款偽裝成瀏覽器插件的惡意程序，在火絨對其進行查殺後，我們對該病毒感染情況進行了持續追踪，通過”火絨威脅情報系統”監測和評估，已有數十萬台電腦被該病毒感染。在多引擎查殺結果中，發現大部分安全廠商都未能對該病毒進行查殺。多引擎查殺掃描結果，如下圖所示：

圖1、多引擎查殺結果

該惡意程序會通過”再打包”方式將惡意程序安裝包打包到系統激活工具中，再將重新打包的激活工具上傳至”Win7之家”等下載站(win7zhijia.cn)。下載頁面，如下圖所示：

圖2、含有惡意程序的下載站

常見被捆綁該病毒的激活工具，如下圖所示：

圖3、被捆綁的激活工具

惡意程序安裝包運行後不但會嘗試釋放多款瀏覽器插件進行流量劫持，還會為惡意程序安裝包創建自啟動項，每次開機都會檢測插件部署情況，如果插件不存在則會再次進行釋放。受該病毒影響的部分瀏覽器，如下圖所示：

圖4、受該病毒影響的部分瀏覽器

瀏覽器主要惡意行為如下：

1.關閉操作系統UAC權限管理，添加自啟動項。

2.在用戶訪問網頁時，會跳轉到帶有病毒作者推廣計費號的網址。

3.將下載的安裝包替換為病毒作者提供的渠道包。

4.在訪問網頁中插入浮窗廣告。

5.在用戶訪問購物時，將商品鏈接更換為作者的CPS返利鏈接。

惡意瀏覽器插件，如下圖所示：

圖5、Chrome被劫持後

圖6、IE瀏覽器被劫持後

惡意瀏覽器插件會在所有被訪問頁面代碼中插入惡意腳本，如當訪問百度或其他導航站頁面時，被插入的惡意代碼會將頁面跳轉到用於流量劫持的跳轉頁面，最後再跳轉到帶有病毒作者推廣計費號的URL地址。例如在訪問百度時，首先會跳轉到www.fj066.com 然後重定向到攜帶推廣計費號的網址hxxps://www.baidu.com/?tn=939*****_hao_pg。

圖7、被劫持的百度頁面

如上圖所示，網頁源碼中已經被添加了惡意腳本。?

三、詳細分析

被捆綁的激活工具運行後會先將惡意程序安裝包釋放在Temp目錄下並運行。安裝包會把文件釋放在C:\ Windows \Help\IBM中，然後設置自啟動項，通過修改註冊表鍵值的方式關閉UAC（User Account Control），嚴重降低了用戶的計算機的安全性。惡意程序所在目錄和被修改的註冊表路徑，如下圖所示：

圖8、病毒釋放出來的文件

圖9、病毒修改的部分註冊表鍵值

釋放出的TxExtent.exe和XCExtent.exe分別會釋放”天馨氣象”和”星馳天氣助手”到Extensions目錄。並將該虛假插件安裝到對應瀏覽器中。值得一提的是，該病毒在工程名里把自己稱作”流氓鏡像快馬”。惡意程序PDB路徑，如下圖所示：

圖10、惡意程序PDB路徑

在Chrome瀏覽器被安裝惡意插件後的註冊表情況，如下圖所示：

圖11、Chrome中註冊插件

惡意插件將自身偽裝為天氣插件，但實際運行中因表層代碼出錯，已無任何實際軟件功能。插件運行情況，如下圖所示：

圖12、插件運行

接下來，我們來分析插件內部的劫持邏輯。根據插件配置信息，插件整體分為三個部分，包括：config.js、backgroud.js和l.js。其中config.js為腳本運行的相關配置信息，存放了C&C 服務器地址和配置ID，每個配置ID都對應不同的劫持邏輯。經過我們統計，此類配置ID至少有100多種。config.js代碼內容，如下圖所示：

圖13、配置文件

l.js為Content Scripts腳本，惡意插件可以通過該腳本捕獲所有的網絡請求，在每個響應後添加遠程惡意JS腳本。相關代碼，如下圖所示：

圖14、 Content Scripts腳本配置

圖15 、通過Content Script注入代碼

遠程腳本分為24個功能模塊，格式化後有1500行。腳本運行後，會先解密其中一個模塊的配置文件。配置文件解密後，如下圖所示：

圖16、解密後的配置文件

主要功能分析如下：

1. 在用戶訪問網頁時，跳轉到帶有病毒作者推廣計費號的網址。

部分被劫持的網站如下：

圖17、被劫持的部分網址

除了上述常見的網站外，惡意腳本還會對另外的一些導航網址（如：hao360.cn）進行過濾，當匹配到這些網址時會強行跳轉到帶有病毒作者推廣計費號的2345網址導航地址，此類導航站地址共300多個。核心代碼邏輯，如下圖所示：

圖18、劫持代碼

如上圖，惡意腳本會將當前訪問網址和配置中的正則表達式進行匹配，匹配成功則使用redirect方法重新導向”hxxp://tx.gwj5.com/p/essw/3001″,然後通過302跳轉到帶有推廣計費號的網址。

2. 將下載的安裝包替換為病毒作者提供渠道包。

惡意插件會將一些軟件的官網下載地址和搜索引擎搜索結果中的下載地址替換為病毒作者提供的渠道包下載地址，我們不排除該惡意插件將來將軟件下載鏈接替換為病毒下載鏈接的可能性。以酷狗音樂為例，在官網點擊下載鏈接，以及在百度和搜狗中搜索出來的安裝包都會被替換為渠道包”hxxp://lxdl.591fq.com/kugou7_3655.exe”。替換模塊部分代碼，如下圖所示：

圖19、替換模塊代碼

部分配置，如下圖所示：

圖20、用於下載替換的配置信息

圖21 、用於搜索引擎替換下載鏈接的配置信息

3.在網頁中插入懸浮窗廣告。

同樣使用正則匹配網址，驗證瀏覽器信息是否符合配置裡的要求，若符合，則在右下角頁面中插入懸浮窗廣告。其中若是電商站點則會插入該站點的商品廣告，否則會插入低俗的懸浮窗廣告。被插入的各類懸浮窗廣告，如下圖所示：

圖22、浮窗廣告

以配置ID為3001的惡意腳本為例，共有40多個網址會被插入浮窗廣告。如下圖是部分被插入浮窗廣告的網站。

圖23、部分被插入浮窗廣告的網址

相關模塊代碼如下圖所示：

圖24、懸浮窗廣告代碼

4. 在用戶訪問購物網站時，將商品鏈接更換為作者的CPS返利鏈接。

在訪問淘寶、京東、蘇寧等69家電商網站時，點擊商品鏈接，會跳轉到作者的返利鏈接。部分返利鏈接，如下圖所示：

圖25、部分電商返利鏈接

模塊代碼如下：

圖26、返利模塊代碼

IE瀏覽器BHO插件分析

存放在C:\Windows\Help\IBM文件夾下的txweather_x64.dll和txweather_x86.dll是用於劫持IE瀏覽器的BHO插件。插件的相關註冊表配置，如下圖所示：

圖27、BHO相關註冊表配置

被安裝了該插件後，使用IE訪問網頁，也會被插入上述JS腳本。被插入的腳本代碼，如下圖所示：

圖28、IE瀏覽器

值得注意的是，該BHO插件打著”上海旻嘟網絡科技有限公司”的數字簽名，截至報告發布前VirusTotal上絕大多數安全廠商尚未對該批插件進行查殺。如下圖所示：

圖29、VirusTotal報毒截圖

火絨可對該病毒的全部惡意代碼進行查殺，如下圖所示：

圖30、火絨查殺截圖

四、溯源分析

惡意瀏覽器插件”天馨氣象”官網頁面（hxxp://www.591fq.com），如下圖所示：

“天馨氣象”官網頁面

根據頁面中的ICP備案號”滬ICP備16025077號”，我們可以查詢到更多網站註冊信息。如下圖所示：

更多網站註冊信息

我們在上述網站註冊信息中找到了名為”叮叮天氣”的網站註冊信息。值得一提的是，早在2015年友商就曾對”叮叮天氣”瀏覽插件進行過查殺。通過公司的知識產權信息查詢，我們發現”天馨氣象”官網591fq.com為”上海夠昂網絡科技有限公司”註冊，且該公司名與友商2015年報告中所提到的公司名相同。相關註冊信息，如下圖所示：