2020.03.23   Android APP > 看点  
👁 26409    ️ ✿ 注册/权限   ★ 账号中心

珍爱生命,远离2345:流氓2345传播木马病毒

火绒工程师发现2345旗下“多特下载站”的下载器(高速下载)正在实施传播木马程序的恶意行为。用户下载运行该下载器后,会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运行,并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器,“commander”仍然会一直驻留用户系统。同时,该下载器还会释放病毒劫持用户浏览器首页,用以推广广告程序。

目前,火绒安全软件最新版已对该下载器与“commander”软件相关恶意与流氓模块进行拦截查杀。

火绒工程师对木马程序 “commander”进行分析后发现,该程序会在用户不知情下被静默安装至电脑中,并在开始菜单、桌面等位置均没有创建相关的启动快捷方式,导致用户难以发现该软件的存在;同时,其广告推广模块会在后台偷偷运行,不停的进行广告推送、静默推广其它软件,严重影响了用户正常使用电脑。为了躲避安全软件的查杀,该木马程序还会主动检测用户电脑中是否安装安全软件和工具。

截至目前,被“commander”木马程序静默推广的软件共有9款,包括趣压、拷贝兔、小白看图等,且这些被静默安装的软件与“commander”木马程序系同源流氓软件。

事实上,木马程序、流氓软件与类似“多特”这样的下载站之间早已形成了一条完整的黑色产业链:下载站通过木马程序、病毒,来静默推广流氓软件,以此获取软件厂商提供的利益;流氓软件被传播到用户电脑后,也会实施捆绑、弹窗等恶意推广其它软件的行为,从中获取利润。一旦用户下载此类下载器或流氓软件,就会陷入“疯狂”的被静默安装与推广的陷阱中。

在此,火绒工程师提醒广大用户,一定要通过官网等正规渠道下载软件,谨慎使用下载站等第三方下载器下载软件,必要时可先使用可靠的安全软件对其进行扫描后再使用。同时,我们呼吁广大下载站,尊重用户权益,合理逐利,对于任何侵犯用户权益的流氓、病毒软件以及下载器,火绒都会及时进行拦截查杀。

附:【分析报告】

一、 详细分析

一直以来,下载站都是众多流氓软件的主要传播渠道之一。本次火绒发现的木马程序commander,就是通过多特下载站的下载器进行静默推广。只要用户在未安装安全软件(如火绒、360、金山等)的环境中运行多特下载器,就会静默下载安装commander木马程序。除此之外,多特下载站下载器还会下载释放锁首木马和广告推广程序,并且检测安全软件躲避安全查杀。综上所述恶意行为,多特下载站下载器已经满足了火绒对病毒的定义。多特下载站页面,如下图所示:


多特下载站页面

多特下载器恶意行为

多特下载器运行之后会根据它的云端配置规避杀软并进行软件静默推广

规避杀软程序的相关配置信息如下图所示:

规避的杀软程序

下图中红框标注部分为木马程序commander相关推广信息(commander相关恶意行为将在下一章节进行分析)。静默推广软件的相关配置信息,如下图所示:

推广软件的相关配置信息

静默推广软件的相关代码,如下图所示:

静默推广软件相关代码

多特下载器除了静默推广软件之外,还会根据其配置下载具有浏览器锁首及添加浏览器书签功能的流氓程序DTPageSet.exe,此程序虽然能正常下载到用户电脑之中,但是后续的代码执行功能并未放开,不排除将来运行此程序的可能性。下载DTPageSet.exe相关配置信息如下图所示:

DTPageSet.exe相关配置信息

下载运行DTPageSet.exe相关代码如下图所示:

下载运行DTPageSet.exe

受影响的浏览器如下图所示:

受影响的浏览器

DTPageSet.exe主要通过修改注册表,修改浏览器配置文件,修改浏览器快捷方式参数的方式来锁定浏览器首页。

以QQ浏览器为例,DTPageSet.exe修改注册表来锁定浏览器主页的相关代码和现象如下图所示:

修改QQ浏览器注册表

修改后的注册表及浏览器首页被锁定

以搜狗浏览器为例,DTPageSet.exe修改浏览器配置文件来锁定浏览器主页的相关代码和现象如下图所示:

修改浏览器配置文件相关代码

修改后的浏览器配置及浏览器首页被锁定

以360安全浏览器为例,DTPageSet.exe修改浏览器快捷方式参数来锁定浏览器主页的相关代码和现象如下图所示:

修改浏览器快捷方式参数

修改后的浏览器快捷方式参数及浏览器首页被锁定

DTPageSet.exe除了上述锁定浏览器首页行为外,还会将云端下放的书签配置添加到浏览器之中,添加浏览器书签相关配置信息如下图所示:

浏览器书签相关配置

下面以360安全浏览器为例,添加浏览器书签相关代码及现象如下图所示:

创建并写入书签相关代码

浏览器中被插入的书签

commander分析

如前文所述,多特下载站下载器会静默推广木马程序commander。commander软件被下载器静默推广安装到%APPDATA%\commander文件夹下,中间过程无任何提示。且在开始菜单、桌面和任务栏上都没有软件功能的入口,用户根本无法察觉到软件的安装。该软件在安装后会下载执行多个广告弹窗模块进行广告推广,并且会下载执行静默推广模块,推广软件。

Commander在安装后,会将Services.exe模块注册为服务,开机自启。Services模块会定时(每30分钟一次)启动commandtools.exe。commandtools.exe模块会从服务器地址(hxxp://i.zzb6.cn/api/data/get)下载到加密的配置文件config.dll,并根据配置下载执行广告弹窗和软件推广模块。配置文件,如下图所示:

配置文件

commandtools.exe模块会对配置文件中block字段中的所有弹窗和推广模块进行遍历下载执行。每个模块在下载之前,可以根据配置文件设置一些下载条件,比如检测环境,过滤进程等。下载执行代码,如下图所示:

遍历下载执行模块

在目前的配置中,下发的广告弹窗程序有多个,但只有两种,从服务器下载的路径上看,应该为同一程序的不同版本,差别不大。该广告弹窗模块会频繁弹出,且窗口多样。广告弹窗现象,如下图所示:

广告弹窗图

appupdui.exe在运行时会根据配置通过枚举进程名的方式对系统中的软件环境进行检测,除此之外还会检测当前IP所在城市,被检测的城市包括:北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。被检测的进程,如下图所示:

检测的环境

检测城市和软件环境相关代码,如下图所示:

环境检测和城市检测代码

通过遍历进程的方式检测软件环境,相关代码如下图所示:

进程检测代码

appupdui.exe模块会根据config.dll配置中的ads软件ID列表进行静默下载安装流氓软件。ads列表中的软件ID号与config.dll中的[Exe]部分的推广软件相关配置一一对应,如Exe_783与软件助手相关配置对应。相关配置,如下图所示:

静默推广相关配置

根据配置文件中的下载地址静默下载执行安装包程序,相关代码如下图所示:

根据config.dll中的配置静默下载执行软件安装包

经过分析我们发现,被commander静默推广的软件(小白看图、趣压、拷贝兔等),与commander系为同一作者编写,且安装后都带有与commandtools.exe相同的恶意功能模块。在这些被推广的软件config.dll配置中,暂未发现下载appupdui.exe的相关配置,但不排除将来下发其他恶意功能模块的可能性。相关代码同源性对比图,如下图所示:

代码同源性对比图

二、 附录

样本hash

更多揭露2345的流氓行为

《2345流氓软件把用户电脑变为挖矿肉鸡》
《2345导航传播病毒,盗取QQ和游戏账号》

珍爱生命,远离2345

老殁忠告:资源具有时效性,时间久了可能会失效,虚拟资源可复制,一经售出概不退,请深思后再确认下载
🐧 QQ 群
💌 失 效 反 馈
♻️ 账 号 权 限
👍 点 赞 支 持

相关推荐

发表评论

账号权限在注册前已写明
  1. Ran 221.237.16.252 Win10+ Chrome 80.0.3987.132  Δ21楼 2020-03-25 8:48:44
    2345现在真的恶心,很早以前我也有给公司电脑装,现在是看到一个卸载一个,相关软件都重新给替换了,之前安装是为了方便,现在.......
  2. 空白 183.184.148.113 Win10+ Chrome 76.0.3809.100  Δ22楼 2020-03-24 17:51:09
    2345流氓不可怕,可怕的是2345都是上市公司了还不停地生产流氓软件和病毒,竟然没有任何组织管理和处罚他
  3. jimduu 61.191.223.93 Win7 Chrome 80.0.3987.149  Δ23楼 2020-03-24 15:03:26
    劳模,2345看图王,好压可都是你推荐的啊
    • 武藤 123.235.29.234 Win10+ Chrome 78.0.3904.108  ∇地下1层 2020-03-24 15:20:37
      我推荐的是看图王修改后的精简版,可没推荐使用官方版,压缩软件我一直推荐360压缩,好压我可不推荐。
      • ther 49.74.50.235 Win10+ Chrome 63.0.3239.132  ∇地下2层 2020-03-24 18:33:34
        winrar不是比他们都好一点吗?
      • killer1327 121.69.99.70 Win10+ Chrome 80.0.3987.149  ∇地下2层 2020-03-25 17:50:43
        好压解压的时候可以自动去除重复路径,比如解压完了是C:\laomo\laomo\laomo.jpg会自动改为C:\laomo\laomo.jpg。这个功能貌似360压缩没有
  4. ChanHale 171.95.241.39 Win10+ Chrome 80.0.3987.149  Δ24楼 2020-03-24 14:03:57
    劳模,网站的天气接口就是2345天气预报呀
    • 武藤 123.235.29.234 Win10+ Chrome 78.0.3904.108  ∇地下1层 2020-03-24 14:56:09
      我正在考虑换一个,但是还没有合适的
  5. JOE 171.116.117.179 Win7 Chrome 69.0.3947.100  Δ25楼 2020-03-24 12:53:08
    傻逼才会点高速下载!另外,我的浏览器和解压都是2345的,我觉得不错,只要精简一下就不会有弹窗了,说是流氓的只是你们不会而已
    • 木偶回忆 39.183.191.229 Win10+ Chrome 69.0.3497.81  ∇地下1层 2020-03-24 13:40:37
      脑残言论 本身就是流氓 不是流氓干嘛放出高速下载? 为什么不直接精简? 这就是黑商 就欺负不太用的人 这不是流氓? 还有你会 别人不会就是傻逼 那你什么都会? 说话不带脑子吗
    • 4g63 49.66.34.133 Win10+ Chrome 80.0.3987.149  ∇地下1层 2020-03-24 15:40:59
      绝了……这都有洗的,这位要么是拿钱发帖的,要么就是韭菜当久了当出错觉了。
    • ???䨻 183.150.42.134 Win10+ Chrome 69.0.3497.100  ∇地下1层 2020-03-25 7:10:56
      你也要考虑那些小白!
    • 黑猫 171.115.225.195 Win10+ Chrome 78.0.3904.116  ∇地下1层 2020-03-25 7:28:21
      食品不安全,还要先学会种地养殖?
    • RCT 113.73.184.29 Win10+ Chrome 75.0.3770.100  ∇地下1层 2020-03-25 14:22:18
      666,你来搞笑的吗?
    • 看着办 58.210.29.162 Win10+ Firefox 67.0  ∇地下1层 2020-03-26 15:20:28
      中国没有浏览器,中国没有压缩软件。全是拿人家东西套壳的玩意,你还在用,你就是个傻逼。

您必须 [ 登录 ] 才能发表留言!(因假邮箱IP、攻击泛滥,暂时停止游客评论)