【快讯】近日,火绒收到多位网友反馈,称在未安装“火绒安全软件”的情况下被静默安装了金山毒霸软件,甚至卸载后再次被安装,不堪其扰。鉴于此前已有不少用户反馈此类情况,火绒工程师高度重视,对金山毒霸的推广渠道进行重点跟踪分析,发现其除了通过第三方软件(驱动精灵、QQ音乐等)、下载站下载器推广外,更是存在利用多个病毒进行推广的恶行。
病毒推广流程图
火绒工程师此次截获到的病毒为“Mint”、“BlackRain”两大家族。病毒自身均通过恶意软件在网络上传播,并静默推广金山毒霸等软件。其中,病毒“Mint”除了推广金山毒霸外,还会传播伪装成天气软件的“BlackRain”病毒,再由“BlackRain”病毒继续静默推广金山毒霸以及其它软件。通过“火绒威胁情报系统”监测到,上述病毒传播量已相当大,截止到目前,感染上述病毒的用户量据估算至少在几十万量级。“火绒安全软件”最新版本可查杀上述病毒。
更为讽刺的是,金山猎豹安全团队曾在2018年对病毒Mint进行过披露,并在当时进行了相关技术分析,然而截至目前,金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。这背后各种,不得不引人深思。
另外,除了利用病毒推广,通过第三方软件(驱动精灵)以及下载站下载器推广也是金山毒霸惯用的手段。在这些第三方软件安装界面,取消安装金山毒霸的勾选框极为隐蔽,多与背景色相同,用户难以察觉,一不小心就被安装金山毒霸。
就在今年上半年,金山毒霸因“浏览器主页劫持”等互联网技术霸凌现象被人民日报进行连续点名报道,而今又被用户反馈利用病毒进行恶意推广的勾当,这折射出的是部分厂商对用户利益的盘剥与傲慢的态度,无异于在透支用户的信任:连安全厂商都行流氓、违法之举,那么其它流氓软件行为岂不更无法无天?
火绒认为,金山毒霸作为一网络安全厂商,应当担负对应的道德责任,对于暴露出的问题,应当猛药去疴、重典治乱,将技术用于正轨,同时,火绒也敦促金山毒霸团队彻查此次事件,并停止后续伤害用户甚至非法的推广行为,真正做到其负责人回应人民网所说的“守住商业底线,净化网络环境”。
附:【分析报告】
一、 背景
近日,火绒收到多位网友反馈,称在未安装火绒安全软件的情况下被静默安装了金山毒霸软件,甚至卸载后再次被安装,不堪其扰。于是,我们对金山毒霸的推广渠道进行了梳理,发现其主要推广渠道除其他软件推广(驱动精灵、QQ音乐等)和下载站下载器推广外,居然还存在利用病毒进行恶意推广的行为。金山毒霸几类推广渠道日推广量占比大致如下:
推广渠道占比
其他软件推广安装时,虽然会出现推广其他软件的勾选项,但是此类勾选项文字通常与背景色非常相近,如果用户不注意观察,很容易被捆绑其他第三方软件。以占比较大的驱动精灵为例,如下图所示:
安装时推广安装
一些软件在卸载时也会有推广行为,仍以占比较大的驱动精灵为例,如下图所示:
卸载时推广安装
通过火绒终端威胁情报系统,我们梳理出了一些下载站的下载器会推广安装金山毒霸。推广金山毒霸的下载器我们仅以部分文件名称为例,如下图所示:
下载站下载器推广安装
与前两种推广方式类似的推广形式五花八门,用户只要稍有不留神就会被静默安装。不过这些推广基本都有相应的勾选,所以用户如果在安装软件、卸载软件、升级软件以及各类软件弹窗功能性和非功能弹窗等等各个环节处处小心提防、对所有提示信息谨慎对待,甚至有时还需要一些“深奥”的文学功底和逻辑能力,总之还是可以避免踩坑的。但利用病毒推广,用户就没有这么“幸运”了。下面,本文将对火绒截获到的两个金山毒霸用来恶意推广的病毒进行详细分析。
二、 病毒分析
通过火绒终端威胁情报系统进行追查,我们发现一批通过恶意软件推广牟利的病毒样本自2019年7月以来持续活跃,此次被截获的病毒样本分属于两个病毒家族Mint和BlackRain,其中BlackRain病毒推广金山毒霸推广量较大。更为讽刺的是,金山猎豹安全团队曾在2018年对病毒Mint进行过披露,并在当时进行了相关技术分析,然而截至目前,金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。相关报告链接:http://sem.duba.net/info/201812101124.shtml。病毒推广流程,如下图所示:
病毒推广流程
Mint病毒
Mint病毒代码逻辑与2018年相比,整体逻辑无明显变化,恶意行为意图完全相同,恶意行为包括:软件安装推广、快捷方式链接推广、广告弹窗和浏览器首页篡改。该病毒首先会将%appdata%MicrosoftPstFevcore.dat中的文件内容进行解密,之后将解密后的原始PE文件注入到其启动的svchost.exe进程中,被注入后的svchost.exe会根据%appdata%MicrosoftPstFevsetting.xml中的推广配置实施恶意推广逻辑,下文称之为推广核心模块。之后解密%windir%system32PstLanuage.dat释放、执行随机名服务动态库。随机名服务主要逻辑是将Mint病毒注入到svchost.exe进程中执行,继续执行病毒逻辑。
Mint病毒会被注入到svchost.exe进程中执行,除释放病毒相关数据文件外,主要用于更新病毒模块。相关代码,如下图所示:
更新病毒模块
病毒会根据C&C服务器(hxxp://ver.qitianst.com)请求更新配置Version.ini,在配置文件中包含推广配置、推广核心模块和PstLanuage.dat的更新地址。配置文件数据,如下图所示:
更新配置
更新随机名服务动态库数据(%windir%system32PstLanuage.dat),相关代码逻辑,如下图所示:
更新PstLanuage.dat相关代码逻辑
通过解密PstLanuage.dat获取到随机名服务动态库,注册随机名服务相关代码,如下图所示:
注册随机名服务
解密释放随机名服务动态库文件。相关代码,如下图所示:
释放随机名动态库
推广核心模块更新后,会被加密存放在%appdata%MicrosoftPstFevcore.dat文件中。该模块数据由病毒主模块调用,解密后会将原始镜像数据注入到svchost.exe进程。更新推广核心模块数据相关代码,如下图所示:
更新推广核心模块数据
将推广核心模块注入到svchost.exe进程,相关代码,如下图所示:
将解密注入svchost.exe
随机名服务
随机名动态库主要逻辑为在内存中加载一个被加密的动态库镜像,之后执行镜像的导出函数“run”。相关代码,如下图所示:
解密执行被加密的镜像数据
被解密出的动态库镜像执行后,会解密的原始病毒镜像,将病毒镜像注入到svchost.exe进程中执行,该病毒镜像与最上层的Mint病毒相同,从而更新病毒主模块。相关代码,如下图所示:
更新病毒主模块数据并注入svchost.exe
推广核心模块
推广核心模块会被加密存放在%appdata%MicrosoftPstFevcore.dat文件中。该模块数据由病毒主模块调用,解密后会将原始PE镜像数据注入到svchost.exe进程中执行。推广核心模块会根据%appdata%MicrosoftPstFevsetting.xml中的配置内容执行相应的推广策略。推广策略主要包含有软件安装推广、弹窗推广、快捷方式链接推广。解密后的配置文件内容,如下图所示:
弹窗广告及快捷方式链接推广配置
在软件安装推广相关配置内容中,除了其他第三方软件外,还包含有金山旗下两款软件(金山毒霸和驱动精灵)的推广配置。截至目前,我们监测到的Mint病毒推广金山毒霸相关推广数据占比较少,不排除病毒临时测试推广的可能性。金山旗下软件相关推广配置,如下图所示:
软件安装推广配置
通过火绒终端威胁情报系统筛查,我们发现,上图中名为“kduba_u59933452_sv1_97_2.exe”金山毒霸安装包文件数字签名时间为2019年5月14日,我们则在2019年5月17日首次监测到该推广包的相应推广安装行为。相关数据,如下图所示:
“kduba_u59933452_sv1_97_2.exe”安装包推广量
“kduba_u59933452_sv1_97_2.exe”安装包文件数字签名信息,如下图所示:
安装包数字签名信息
除此之外,我们在同一个推广配置中还发现了一款伪装成天气软件的病毒程序,我们将其命名为BlackRain病毒,在下文中进行详细分析。相关配置内容,如下图所示:
病毒推广配置
BlackRain病毒
BlackRain病毒主要通过病毒推广的形式进行传播,该病毒执行后会根据C&C服务器返回的推广配置进行恶意软件推广。病毒伪装成天气软件,自身没有实际的功能,只会根据请求下来的配置文件推广软件和浏览器插件。根据目前请求到的配置文件信息,病毒在执行恶意推广时会避开北京、广州和深圳这三个城市。病毒文件信息,如下所图示:
病毒文件信息
在该BlackRain病毒的推广策略中包含有大量的软件推广,其中浏览器插件推广居多,软件安装包推广策略中只推广金山毒霸。配置文件内容,如下图所示:
配置文件
病毒运行后会从资源节解出Everything.exe和Everything.ini,之后加载执行Everything,用于查找浏览器主程序的文件路径。从配置文件中获取任意一个插件的URL地址,下载插件并调用找到的浏览器程序,安装插件。之后向安装扩展程序的窗体发送确认消息完成插件安装。相关代码,如下图所示:
从资源节中解出Everything
使用Everything查找浏览器可执行文件路径
下载插件crx文件
调用浏览器安装插件
向安装插件窗体发送确认消息
受该病毒影响的浏览器,如下图所示:
浏览器
被推广的浏览器插件,如下图所示:
被推广的浏览器插件
从配置文件中取得推广程序的URL地址,下载到C:Program FilesEXEDOWN目录下并执行,目前推广的程序仅有金山毒霸。相关代码,如下图所示:
推广软件
病毒会检查配置文件中的版本信息,如果版本与自身的版本不同,则会进行自身的更新。相关代码,如下图所示:
自我更新
病毒会创建开机自启的服务项,用于开机启动。相关代码,如下图所示:
创建服务
三、 附录
病毒hash