激活工具带毒感染量近60万北京等四城市用户不被攻击.PDF

激活工具带毒感染量近 60 万 北京等四城市用户不被攻击 目录 一、 概述 3 二、 样本分析 5 三、 溯源分析 15 四、 延伸样本分析 18 现象 18 详细分析 21 五、 附录 28 一、 概述 近日，火绒安全团队发现，用户在知名下载站“系统之家”下载安装“小马激活”及“OFFI CE2016”两款激活工具时，会被植入病毒“Justler”，该病毒会劫持用户浏览器首页。病毒“J ustler”作者极为谨慎，会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区 的 IP。除这几个地区以外的用户，下载到的软件均可能带毒。据“火绒威胁情报系统”监测 和评估，截至目前，该病毒感染量已近 60 万。 病毒“Justler”通过知名下载站“系统之家”（ ）传播。当用户试图下载 “小马激活”及“OFFICE2016”两款激活工具时，“系统之家”会识别访问 IP，当用户IP 地址不 属于北京、厦门、深圳、泉州四个地区时，则会跳转到被植入病毒代码的软件下载链接。 另外根据跳转链接域名，我们进一步发现了一个站点名同为“系统之家”（win.100ea.c om）的网站。而该网站中提供的系统盘也同样携带病毒“Justler”。 一旦运行“小马激活工具”、“OFFICE 2016 激活工具”安装包，病毒“Justler”也随之被激 活。之后，该病毒将篡改被感染电脑的浏览器首页，劫持流量。 火绒安全团队发现，利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增 多趋势。由于激活工具通常是装机后首先安装的软件，因此此类病毒和流氓软件利用介入 时机更早的优势与安全软件进行对抗。 “火绒安全软件”最新版可拦截并查杀病毒“Justler”。对于已经感染该病毒的非火绒用 户，可以下载使用“火绒专杀工具”彻底查杀该病毒。 二、 样本分析 本次火绒所截获的病毒样本将自己伪装成了小马激活工具，在运行原版小马激活工具 的同时，还会释放加载恶意驱动进行流量劫持。样本来源为名叫 “系统之家”的软件站 （w ），该站点在百度搜索“系统之家”后的搜索结果排名中居于首位，且被 标注有“官网”标志。百度搜索“系统之家”后的搜索结果，如下图所示： 百度搜索结果 该站点主页页面，如下图所示： 站点页面 病毒将自己伪装成小马激活工具，病毒在运行首先会释放运行原始的小马激活工具， 之后会释放加载病毒驱动进行流量劫持。病毒的下载页面（hxxp:///s oft/28841.html）会根据访问者 IP 的不同而变化，例如当访问用户的 IP 对应区域为北京 时，下载地址链接，如下图红框所示： 病毒下载页面（北京 IP 访问） 但在我们使用 HTTP 代理访问后，下载地址链接出现了变化，变为了百度云盘下载。 通过一段时间的测试我们发现，在使用 HTTP 代理的情况下，下载页面并不是每次都会显 示百度云盘下载链接，病毒作者可能利用这种方式对抗安全厂商的样本收集。下载页面， 如下图所示： 病毒下载页面（HTTP 代理访问） 点击上图中的“百度云盘下载”链接后，页面会跳转至 hxxp:///oem9/do wn.html。该页面中包含的 JavaScrIPt 脚本可以根据用户的当前 IP 地址所属地域，跳转至 不同的百度云盘地址。如果通过 IP 地域查询，获取到当前所属城市为北京、厦门、深圳 或泉州，则会跳转到无毒版本小马激活工具的百度云盘下载页面；如果当前所属地为其他 城市，则会跳转到带毒小马激活工具的下载地址。脚本内容，如下图所示： 跳转脚本内容 带毒小马激活样本由三层释放器构成，病毒整体结构如下图所示： 病毒整体结构 三层释放器中都带有检测安全软件的代码逻辑，如