火絨安全團隊發現，病毒團伙正利用”遠景”論壇的系統鏡像文件傳播後門病毒”WenkPico”。該病毒入侵用戶電腦後，會劫持導航站、購物網站以及軟件安裝包流量，牟取暴利。同時該病毒還利用國內某安全廠商的產品功能模塊，攻擊其它安全軟件，讓部分安全軟件的”雲查殺”功能失效，使用戶電腦失去安全防護。

一、 概述

火絨工程師分析發現，病毒團伙將病毒嵌入在系統鏡像文件中，當用戶從”遠景”論壇中下載安裝這些系統鏡像文件後，就會運行病毒。建議近期下載該系統鏡像文件的用戶，盡快查看電腦C:\ Windows \system32\drivers目錄，如果出現名為EaseFlt.sys和adgnetworkdrvw.sys的驅動文件，則表明已經中毒，可使用”火絨專殺工具”徹底查殺該病毒。

病毒侵入用戶電腦後，會通過多種方式劫持流量，牟取利益：將用戶的導航劫持為Hao123或2345導航頁；讓用戶訪問購物時跳轉到購物返利的鏈接中（受影響的購物網站如下圖）；還會劫持用戶下載軟件的地址，並替換為病毒團伙上傳的軟件渠道包。病毒團伙可隨時通過C&C 服務器更改被劫持的軟件下載地址，不排除未來會向用戶電腦派發更具威脅性病毒的可能性。

更可怕的是，該病毒利用了國內安全廠商軟件模塊，可阻止國內外主流安全軟件聯網查殺（受影響安全軟件如下圖），對依賴”雲查殺”的360安全衛士影響較大，使雲查殺功能失效，並且阻止安全軟件上傳病毒樣本；對卡巴斯基等具備本地殺毒引擎的安全軟件影響較小。火絨用戶無需擔心，”火絨產品（個人版、企業版）”使用自研新引擎，斷網環境下，殺毒能力不受任何影響。

最終，通過技術溯源發現，該病毒利用的軟件模塊帶有的數字簽名為”Shandong Anzai Information Technology CO.,Ltd.”（”山東安在信息技術有限公司”），建議該公司盡快排查。

“WenkPico”病毒查殺Tips：

1、點擊下載”火絨專殺工具”http://bbs.huorong.cn/thread-18575-1-1.html；

2、安裝後點擊”開始掃描”。

二、 樣本分析

近日，火絨接到用戶反饋，從遠景論壇中下載到的系統鏡像中含有病毒程序。病毒運行後，會通過網絡過濾劫持Hao123和2345導航推廣計費號，劫持軟件安裝包下載地址，受影響的軟件包括：電腦管家和QQ瀏覽器。當用戶訪問購物網站時，還跳轉到購物返利鏈接。受影響的購物網站，如下圖所示：

受影響的購物網站

劫持現象，如下圖所示：

劫持現象

病毒還會通過禁止安全軟件組件聯網和禁止計算機訪問云查殺地址的方式與安全軟件進行對抗，從而試圖使依賴雲查殺的安全軟件失去對病毒的查殺的能力。被禁止聯網的安全軟件，如下圖所示：

被禁止聯網的安全軟件

除此之外，病毒還帶有文件保護功能，當用戶讀取病毒相關驅動文件時，返回的數據為系統文件bindflt.sys的文件內容，從而迷惑用戶，提高病毒的隱蔽性。以文件屬性為例，如下圖所示：

病毒對自身驅動文件保護

病毒主模塊文件名為wkms.dll，除病毒代碼外還包含有系統激活相關邏輯。該動態庫會被註冊為系統服務，每次開機後都會被調用。該病毒模塊首次被調用時，會釋放多個可執行文件（如上圖紅框所示），其中EaseFlt.sys為EaseFilter SDK中所提供的驅動程序，該驅動中提供了文件過濾和進程保護功能，功能可以通過EaseFilter SDK中的動態庫進行調用，動態庫數據也被存放在wkms.dll中；adgnetworkdrvk.sys和adgnetworkdrvw.sys都為網絡過濾驅動，兩個驅動文件完全相同，其中adgnetworkdrvk.sys被用來進行系統激活，adgnetworkdrvw.sys用來設置惡意網絡過濾規則。值得一提的是，我們發現在Win10以下系統中安裝wkms.dll服務動態庫後，其釋放出的網絡過濾驅動文件均帶有”Shandong Anzai Information Technology CO.,Ltd.”有效數字簽名。由於該驅動被調用時未檢測調用者，所以我們初步懷疑該驅動文件被病毒利用。”Shandong Anzai Information Technology CO.,Ltd.”數字簽名，如下圖所示：

下面針對上述病毒功能模塊進行詳細分析。

驅動保護

病毒服務動態庫wkms.dll被存放在system32目錄，wkms.dll運行所產生的所有病毒數據都被存放在system32\oobe目錄下。病毒運行後，首先會獲取系統版本，之後根據系統版本釋放EaseFlt.sys，並將EaseFilter動態庫在內存中進行映射展開，通過映射展開的動態庫調用EaseFilter驅動中的文件過濾功能。相關代碼，如下圖所示：

內存展開EaseFilter動態庫代碼

病毒調用文件過濾功能後，會將之前釋放的三個驅動的文件對象劫持到系統文件BindFlt.sys，通過這種手段讓用戶和安全分析人員誤以為該文件為系統文件，從而提供病毒的隱蔽性。相關代碼，如下圖所示：

調用文件過濾代碼

除此之外，病毒還會調用EaseFilter中的進程保護功能，保護wkms.dll模塊所在進程，如上圖最下方紅框所示。

網絡過濾

病毒網絡過濾相關邏輯運行後，首先會通過C&C服務器（hxxps://w.360scloud.com）請求病毒模塊af.dat的下載地址，af.dat文件被下載後會被釋放到system32\oobe目錄下，再由wkms.dll調用執行。通過請求鏈接，病毒可以獲取到一段以”#S#”開頭”#E#”結尾，由Base64編碼過的數據（由於數據過長下圖只展示部分數據）。將數據解碼後，我們可以得到原始的配置數據。病毒通過C&C服務器請求數據過程完全相同，下文不再贅述。請求鏈接及下載到的配置數據，如下圖所示：

請求鏈接及下載到的配置數據

除了下載af.dat病毒模塊外，此處的配置文件中還可以存放需要執行的任意命令行，根據現行的配置數據存放命令行的字段尚未被啟用，但是不排除病毒將來下發惡意命令行到用戶本地執行的可能性。相關配置文件解析代碼，如下圖所示：

配置文件解析代碼

wkms.dll在加載af.dat後，會調用其導出函數AF添加惡意網絡過濾規則劫持流量、阻止安全軟件聯網、阻止訪問安全軟件雲查鏈接。wkms.dll模塊調用af.dat相關代碼，如下圖所示：

wkms.dll模塊調用af.dat相關代碼

af.dat中的病毒代碼被執行後，首先會根據系統版本釋放網絡過濾驅動adgnetworkdrvw.sys，之後通過C&C服務器（hxxps:// w.360scloud.com）獲取惡意網絡過濾規則。規則共分為兩個部分：流量劫持和對抗安全軟件。在流量劫持部分規則中，病毒除了會劫持推廣計費號外，還會劫持用戶下載的軟件安裝包地址，在用戶下載的軟件官網安裝包時，實際下載到的卻是病毒作者提供的渠道包，從而達到變現目的。截至到報告發布前，受影響的軟件安裝包包括：QQ瀏覽器和騰訊電腦管家。由於網絡過濾規則是通過病毒作者的C&C服務器下發的，病毒作者可以隨意調整劫持地址，所以我們不排除安裝包地址被劫持為病毒下載地址的可能性。由於流量劫持規則眾多僅以部分規則為例，如下圖所示：

流量劫持規則

對抗安全軟件的網絡過濾規則，主要用於對抗安全軟件聯網雲查殺和阻止安全軟件更新。病毒會通過禁止訪問安全軟件”雲查殺”地址的方式，使部分安全軟件的雲查殺功能失效，並且阻止安全軟件上傳病毒樣本，從而直接影響安全軟件正常的防毒能力。病毒過濾規則生效後，會直接影響360安全衛士等安全軟件請求雲查殺結果，使安全軟件失去相關安全防護功能。中毒現象，如下圖所示：

360安全衛士云查殺功能失效

相關規則數據，如下圖所示：

阻止訪問云查殺地址規則

除此之外，病毒還會拒絕安全軟件進程進行網絡請求，受影響的進程名包括：HipsDaemon.exe、360Tray.exe、liveupdate360.exe 、QQPCRTP.exe等。雖然火絨的HipsDaemon.exe和HipsTray.exe進程也在規則列表中，但是由於火絨使用本地病毒庫進行查殺，所以不會受到該規則影響。相關規則，如下圖所示：

請求鏈接及下載到的配置數據

三、 附錄

樣本SHA256