近期，有大量用戶在火絨論壇反饋首頁遭遇劫持。火絨工程師溯源發現，上述用戶均是在某激活工具官網（現已被火絨攔截）下載安裝了暴風激活、KMS、小馬激活等激活工具導致首頁被劫持。進一步分析發現，這些激活工具均攜帶了一款名為“麻辣香鍋”的首頁鎖定病毒，病毒感染用戶電腦後會將首頁劫持為“http://**?.****111.top ”（“？”為任意數字，如下圖）。

由於上述激活工具使用者較多，導致病毒影響範圍較大。火絨用戶無須擔心，火絨安全軟件最新版可攔截該病毒。另外，感染該病毒的用戶，可以使用火絨專殺工具清除病毒。

下載地址：https://down5.huorong.cn/hrkill-1.0.0.33.exe

根據火絨工程師分析，該病毒鎖定首頁後，還會禁止瀏覽器自行改回原有的首頁，並且會破壞安全軟件躲避查殺。此外，該病毒還可以通過本地的升級程序不斷更新。

更值得一提的是，該病毒還會收集用戶本地的藍屏信息，推測是為了從中篩查並解決自身驅動導致藍屏的問題。而如此盡心為用戶“服務”的目的，並不是獲得口碑，恰恰是為了可以長期“霸占”電腦。

事實上，激活工具等灰色軟件捆綁病毒、流氓軟件進行傳播早已是行業的亂象，火絨也曾多次發布報告進行披露。由於此類工具通常在裝機後先於安全軟件被安裝，會導致攜帶的病毒先一步到達電腦獲得對抗的主動權；此外，即便用戶提前部署了安全軟件，這些工具也會想盡辦法利用自身“灰色”的性質，誘導用戶在安裝時先卸載安全軟件，防止“誤殺”。

從上述激活工具官網可看到，病毒作者也在誘騙用戶安裝前退出安全軟件。在此，火絨工程師提醒廣大用戶，切勿輕易卸載安全軟件，謹慎使用激活工具等灰色軟件，如必須使用，可先用安全軟件對其進行掃描查殺，確保安全。

附：【分析報告】

一、 詳細分析

今年以來，“麻辣香鍋”病毒在互聯網中大範圍傳播。“麻辣香鍋“病毒由於其早期版本病毒模塊所在目錄為” Mlxg_km “因此得名，該病毒通過小馬激活，暴風激活，KMS激活等激活工具進行傳播，用戶中毒後首頁會被劫持到病毒作者預設的跳轉鏈接（本文中該鏈接為hxxp://sg?.dhtz111.top，?代表任意數字，且鏈接可能隨著病毒更新而更換，如：hxxp://hl?.gndh111.top ）。除此之外，該病毒還具有刪除安全軟件進程回調、禁止瀏覽器首頁模塊加載等功能，並且還可以通過本地的升級程序不斷更新。更有意思的是，該病毒為了能夠穩定地“霸占”用戶電腦，還會收集用戶本地的藍屏dmp文件，從而發現病毒驅動潛在的藍屏問題。在病毒下載頁面中，頁面文字會惡意誘導用戶“請務必先退出360、騰訊管家、Win10防護等殺毒軟件，再去下載激活”，通過此方式躲避安全軟件查殺。被植入病毒的激活工具下載頁面，如下圖所示：

網站相關信息

病毒惡意行為流程圖，如下圖所示：

病毒惡意行為流程圖

1) KMSAuto Net.exe

“麻辣香鍋”的病毒母體為“二次打包“後的KMSAuto Net激活工具安裝包程序，當程序運行之後，會根據其安裝腳本釋放如下病毒模塊。病毒文件構成示意圖：

病毒文件構成

相關代碼，如下圖所示：

安裝包腳本代碼

2) DvLayout.exe

DvLayout.exe模塊的主要功能是將主程序釋放出的KMDF_LOOK.sys與KMDF_Protect.sys重命名為隨機名，隨後將其註冊為系統服務並啟動。重命名KMDF_LOOK.sys與KMDF_Protect.sys相關代碼如下圖所示：

重命名驅動文件

將兩個隨機名後的驅動註冊為系統服務“LSI_SAS2l”與“iaLPSS1z”並啟動，相關代碼如下圖所示：

註冊並啟動系統服務

隨後便運行wrme.exe模塊，相關代碼如下圖所示：

運行wrme.exe模塊

3) Wrme.exe

wrme.exe模塊會啟動執行模塊wuhost.exe和wdlogin.exe。同時會收集終端用戶的MAC地址,CPU, GPU, 系統版本，安裝的殺軟等信息，加密發送到C&C服務器（du.testjj.com:8083）。相關代碼如下圖所示：

啟動執行wuhost和wdlogin模塊

發送主機信息

檢測安裝的殺軟

4) KMDF_Protect.sys

KMDF_Protect.sys模塊為驅動保護模塊，用來對抗殺軟的查殺。該模塊會添加文件過濾來阻止對自身組件模塊的訪問、修改和刪除操作。同時也會阻止360和騰訊電腦管家云查殺模塊的加載。相關代碼如下圖所示：

註冊文件過濾

文件過濾回調

對自身的模塊進行保護

阻止360、騰訊電腦管家的雲查殺模塊加載。相關代碼如下圖所示：

阻止殺軟雲查殺模塊的加載

該模塊會添加註冊表回調，對含有”iaLPSS1z”和”LSI_SAS2l”路徑的註冊表操作進行過濾，拒絕其刪除和修改的請求。相關代碼如下圖所示：

註冊表保護

該模塊會添加關機回調，回寫驅動加載的註冊表項並將wccenter.exe添加到Runonce註冊表項中，從而開機自啟。相關代碼如下圖所示：

添加關機回調

回寫驅動服務註冊表

添加wccenter開機啟動

5) KMDF_LOOK.sys

KMDF_LOOK.sys驅動模塊主要用於劫持瀏覽器首頁，與此同時還會刪除安全軟件相關的進程回調、阻止瀏覽器加載首頁相關的動態庫。受該病毒影響的瀏覽器，如下圖所示：

受該病毒影響的瀏覽器

劫持瀏覽器啟動參數相關邏輯，如下圖所示：

劫持瀏覽器啟動參數

該病毒還會通過文件過濾的方式，阻止瀏覽器加載首頁相關的動態庫。相關代碼，如下圖所示：

檢測瀏覽器進程名

被攔截加載的模塊文件名，如下圖所示：

被攔截加載的模塊文件名

最後，該病毒會將安全軟件（360、騰訊、金山）相關的進程回調全部刪除，該操作意圖可能是為了提高首頁鎖定的成功概率。相關代碼，如下圖所示：

刪除安全軟件進程回調

刪除安全軟件進程回調相關數據初始化代碼，如下圖所示：

數據初始化代碼

6) _J1002.exe

_J1002.exe模塊的主要功能是向服務器發送心跳包，它會先將自身複製到同目錄下，將其註冊為服務後自刪除，相關代碼如下圖所示：

註冊服務並自刪除

發送心跳包相關代碼及網絡信息如下圖所示：

發送心跳包

心跳包信息

7) Wdlogin.exe

Wdlogin.exe模塊的主要功能是尋找C: Windows minidump目錄下的以dmp結尾的dump文件，並壓縮上傳到服務器，相關代碼及網絡信息如下圖所示：

尋找dump文件

上傳dump信息

8) Wuhost.exe

Wuhost.exe模塊主要用於更新兩個驅動模塊。更新時會讀取%windir%目錄下的filt（KMDF_LOOK版本信息）和sytl（KMDF_Protect版本信息）文件內容，之後將兩個文件中記錄的驅動模塊版本信息和其他系統信息（包括：系統平台版本x64 /x86，對用驅動模塊名、請求時間）發送至C&C服務器（du.testjj.com:8083）。在發送請求後，C&C服務器會返回相應驅動模塊的更新下載地址，最後下載驅動模塊。相關代碼，如下圖所示：

更新驅動模塊

發送加密數據相關代碼，如下圖所示：

發送數據

發送數據內容示例，如下圖所示：

發送數據內容

最初被下載到本地的驅動模塊名分別為kmdf_look_temp和kmdf_protect_temp，在完成更新流程後，驅動文件被重命名為隨機名驅動文件（如：EYVKRTAM.sys）。相關代碼，如下圖所示：

重命名驅動模塊

9) Wccenter.exe

Wccenter.exe模塊的主要功能是創建wrme.exe、wuhost.exe、wdlogin.exe進程，相關代碼如下圖所示：

創建wrme.exe、wuhost.exe、wdlogin.exe進程

二、 溯源分析

通過火絨監測發現，此套惡意鎖定首頁程序主要來自hxxp://windows.shibojiab.cn網站下的三款激活工具（小馬激活，暴風激活，KMS激活）。三款激活工具運行之後都存在釋放惡意鎖定首頁模塊相關功能，運行對比信息如下圖所示：

激活工具運行信息

相關ICP備案信息如下圖所示：

ICP備案信息

三、 附錄

病毒hash