一、 概述
近日,火绒安全团队发现,用户在知名下载站"系统之家"下载安装"小马激活"及"OFFICE2016"两款激活工具时,会被植入病毒"Justler",该病毒会劫持用户浏览器首页。病毒"Justler"作者极为谨慎,会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区的IP。除这几个地区以外的用户,下载到的软件均可能带毒。据"火绒威胁情报系统"监测和评估,截至目前,该病毒感染量已近60万。
病毒"Justler"通过知名下载站"系统之家"(xitongzhijia.net)传播。当用户试图下载"小马激活"及"OFFICE2016"两款激活工具时,"系统之家"会识别访问IP,当用户IP地址不属于北京、厦门、深圳、泉州四个地区时,则会跳转到被植入病毒代码的下载地址链接。
另外根据跳转链接域名,我们进一步发现了一个站点名同为"系统之家"(win.100ea.com)的网站。而该网站中提供的系统盘也同样携带病毒"Justler"。
一旦运行"小马激活工具"、"OFFICE 2016激活工具"安装包,病毒"Justler"也随之被激活。之后,该病毒将篡改被感染电脑的浏览器首页,劫持流量。
火绒安全团队发现,利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增多趋势。由于激活工具通常是装机后首先安装的软件,因此此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。
"火绒安全软件"最新版可拦截并查杀病毒"Justler"。对于已经感染该病毒的非火绒用户,可以下载使用"火绒专杀工具"彻底查杀该病毒。
二、 样本分析
本次火绒所截获的病毒样本将自己伪装成了小马激活工具,在运行原版小马激活工具的同时,还会释放加载恶意驱动进行流量劫持。样本来源为名叫 "系统之家"的软件站(www.xitongzhijia.net),该站点在百度搜索"系统之家"后的搜索结果排名中居于首位,且被标注有"官网"标志。百度搜索"系统之家"后的搜索结果,如下图所示:
百度搜索结果
该站点主页页面,如下图所示:
站点页面
病毒将自己伪装成小马激活工具,病毒在运行首先会释放运行原始的小马激活工具,之后会释放加载病毒驱动进行流量劫持。病毒的下载页面(hxxp://www.xitongzhijia.net/soft/28841.html)会根据访问者IP的不同而变化,例如当访问用户的IP对应区域为北京时,下载地址链接,如下图红框所示:
病毒下载页面(北京IP访问)
但在我们使用HTTP代理访问后,下载地址链接出现了变化,变为了百度云盘下载。通过一段时间的测试我们发现,在使用HTTP代理的情况下,下载页面并不是每次都会显示百度云盘下载链接,病毒作者可能利用这种方式对抗安全厂商的样本收集。下载页面,如下图所示:
病毒下载页面(HTTP代理访问)
点击上图中的"百度云盘下载"链接后,页面会跳转至hxxp://go.100ea.com/oem9/down.html。该页面中包含的JavaScrIPt脚本可以根据用户的当前IP地址所属地域,跳转至不同的百度云盘地址。如果通过IP地域查询,获取到当前所属城市为北京、厦门、深圳或泉州,则会跳转到无毒版本小马激活工具的百度云盘下载页面;如果当前所属地为其他城市,则会跳转到带毒小马激活工具的下载地址。脚本内容,如下图所示:
跳转脚本内容
带毒小马激活样本由三层释放器构成,病毒整体结构如下图所示:
病毒整体结构
三层释放器中都带有检测安全软件的代码逻辑,如果检测到安全软件则会弹出提示"为了顺利激活系统,请先退出杀毒软件",最后退出执行。提示弹窗,如下图所示:
恶意驱动jus3310s.sys加载后,会注册映像加载回调劫持浏览器启动参数。当映像文件名为浏览器文件名时,恶意驱动会将浏览器启动参数劫持为如下网址。劫持所使用的网址,如下图所示:
劫持网址列表
受影响浏览器列表,如下图所示:
三、 溯源分析
通过我们对下载到病毒的系统之家网站内容进行排查,我们发现类似的带毒激活工具并不只有一个。在该网站的软件总排行列表中,我们暂时发现带毒的激活工具共有两个,且通过百度云盘链接最终下载到的病毒程序也在不断更新,病毒行为也可能不断进行变化。网站软件总排行列表,如下图所示:
除此之外,通过搜索前文中提到包含跳转脚本的网址域名(hxxp://100ea.com),我们发现该域名还存在一个名为hxxp://win.100ea.com的子域名,该站点名同为"系统之家"。我们在该网站中下载的(hxxp://win.100ea.com/dngs64win10.html)系统盘镜像中也同样发现了同样的病毒样本,而且系统盘中的恶意驱动(yhxmabc.sys)样本哈希与前文中所述样本jus3310s.sys(x64)哈希相同,即该站点中的系统盘也同样包含有相同病毒。该网址页面,如下图所示:
win.100ea.com网站页面
带毒的系统盘下载页面,如下图所示:
带毒系统盘下载页面
样本哈希对比,如下图所示:
样本哈希对比
四、 延伸样本分析
火绒近期发现,利用激活工具和系统盘进行传播的病毒和流氓软件有逐渐增多趋势,此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。此前在火绒发布的报告《"小马激活"病毒新变种分析报告》和《盗版用户面临的"APT攻击"风险》中,也对利用这两种方式进行传播的病毒样本进行过详细分析。除了上述样本外,火绒近期还截获了另一款利用系统盘途径进行传播流氓软件,该流氓软件会利用一键装机工具下载带有流氓软件系统镜像的方式进行传播。
现象
本次火绒截获到的流氓软件名为"主页守护神",会通过一款名为"云骑士装机大师"的一键装机工具下载带有流氓软件系统镜像,之后在本地对系统镜像进行安装从而达到传播目的。流氓软件运行后,除了首页锁定功能外还具有软件推送的功能,将来可能用于进行软件推广或者广告程序推广。经过火绒对"云骑士装机大师"软件的溯源分析,我们发现传播该流氓软件的一键装机工具数量众多。如下图所示:
传播该流氓软件的装机工具及官网网址
上述一键装机工具官网页面,如下图所示:
云骑士装机大师官网
上述装机工具在下载系统镜像时,会在同一服务器地址(hxxp://hsds.ruanjiandown.com)下载相同的gho文件至本地进行安装。在该系统镜像中,除了会预装流氓软件外,还会预装安全软件(360安全套装和QQ管家安全套装),由于这两款安全软件并不会检测该流氓软件,所以通过该装机工具安装系统的用户通常并不会知道系统已经被植入了流氓软件。"安全套装"选择窗口,如下图所示:
"安全套装"选择窗口
系统安装完成后,"主页守护神"会被安装到系统中的Program Files\PageGuard目录下。该流氓软件表面上的软件功能为主页保护,但在其软件代码中还包含有软件推送的相关代码逻辑。但截至到报告发布前,软件推送的相关配置暂时尚未设置软件推送数据,但不排除该流氓软件将来借助软件推送功能进行软件静默推广或广告程序推送的可能性。在双击运行该软件的主程序时,会弹出首页及默认浏览器的设置界面,但是该软件的自启动项中被设置了隐藏执行参数,自启运行时不会显示软件界面。软件界面,如下图所示:
"主页守护神"软件界面
该软件的启动项注册表,如下图所示:
启动项
该软件被安装后不会创建桌面快捷方式,在系统控制面板中也无法找到该软件的卸载项。该软件以隐藏方式启动后,如果运行软件推送逻辑,用户将很难对其软件推送行为有所察觉。
详细分析
在该软件安装目录中,存放有首页锁定功能的相关配置。配置信息,如下图所示:
劫持配置
首页锁定功能是通过PGFltMgr.sys(包含劫持与自保功能)和PGFltMgrLib.dll(与驱动进行通讯)来实现的,PGFltMgrLib.dll为ring3层调用PGFltMgr.sys驱动的唯一接口。在调用PGFltMgrLib.dll导出函数SetHomePageLockerW后,PGFltMgr.sys驱动的会在映像加载时,将BrowserInjectDll.dll注入到指定进程中。BrowserInjectDll.dll镜像内容可以通过远程服务器进行下载,现阶段其中代码会Hook GetCommandLineA和GetCommandLineW,最后通过篡改命令行参数达到首页锁定目的。
五、 附录
文中涉及样本SHA256:
最后希望大家注意防范,提高安全意识。
一、安装WINDOWS官方系统,本站有很多工具都是可以直接很方便的安装正版系统的工具或者方法,点击搜索。
二、使用正规的激活工具激活系统。点击搜索
三、本站发布的软件请放心使用,都是经过测试后发布的,保证无毒无后门程序。