设为首页 | 收藏本站欢迎来到!

无节制流氓推广,2345旗下下载站正在传播木马程

作者:admin      来源:admin      发布时间:2020-11-15

近来,火绒工程师发现2345旗下“多特下载站”的下载器正在施行传达木马程序的歹意行为。用户下载运转该下载器后,会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运转,并依据云控装备推送弹窗广告和流氓软件。即便用户封闭下载器,“commander”仍然会一向驻留用户体系。一起,该下载器还会开释病毒绑架用户浏览器主页,用以推行广告程序。

现在,火绒安全软件最新版已对该下载器与“commander”软件相关歹意与流氓模块进行阻拦查杀。

火绒工程师对木马程序 “commander”进行剖析后发现,该程序会在用户不知情下被静默装置至电脑中,并在开始菜单、桌面等方位均没有创立相关的发动快捷方法,导致用户难以发现该软件的存在;一起,其广告推行模块会在后台悄悄运转,不断的进行广告推送、静默推行其它软件,严重影响了用户正常运用电脑。为了逃避安全软件的查杀,该木马程序还会自动检测用户电脑中是否装置安全软件和东西。

到现在,被“commander”木马程序静默推行的软件共有9款,包含趣压、复制兔、小白看图等,且这些被静默装置的软件与“commander”木马程序系同源流氓软件。

事实上,木马程序、流氓软件与相似“多特”这样的下载站之间早已形成了一条完好的黑色产业链:下载站通过木马程序、病毒,来静默推行流氓软件,以此获取软件厂商供给的利益;流氓软件被传达到用户电脑后,也会施行绑缚、弹窗等歹意推行其它软件的行为,从中获取赢利。一旦用户下载此类下载器或流氓软件,就会堕入“张狂”的被静默装置与推行的圈套中。

在此,火绒工程师提示广阔用户,一定要通过官网等正规途径下载软件,慎重运用下载站等第三方下载器下载软件,必要时可先运用牢靠的安全软件对其进行扫描后再运用。一起,咱们呼吁广阔下载站,尊重用户权益,合理逐利,关于任何侵略用户权益的流氓、病毒软件以及下载器,火绒都会及时进行阻拦查杀。

一向以来,下载站都是很多流氓软件的首要传达途径之一。本次火绒发现的木马程序commander,便是通过多特下载站的下载器进行静默推行。只需用户在未装置安全软件的环境中运转多特下载器,就会静默下载装置commander木马程序。除此之外,多特下载站下载器还会下载开释锁首木马和广告推行程序,而且检测安全软件逃避安全查杀。综上所述歹意行为,多特下载站下载器现已满意了火绒对病毒的界说。多特下载站页面,如下图所示:

多特下载站页面

多特下载器歹意行为

多特下载器运转之后会依据它的云端装备躲避杀软并进行软件静默推行

躲避杀软程序的相关装备信息如下图所示:

躲避的杀软程序

下图中红框标示部分为木马程序commander相关推行信息。静默推行软件的相关装备信息,如下图所示:

推行软件的相关装备信息

静默推行软件的相关代码,如下图所示:

静默推行软件相关代码

多特下载器除了静默推行软件之外,还会依据其装备下载具有浏览器锁首及增加浏览器书签功用的流氓程序DTPageSet.exe,此程序虽然能正常下载到用户电脑之中,可是后续的代码履行功用并未铺开,不扫除将来运转此程序的可能性。下载DTPageSet.exe相关装备信息如下图所示:

DTPageSet.exe相关装备信息

下载运转DTPageSet.exe相关代码如下图所示:

下载运转DTPageSet.exe

受影响的浏览器如下图所示:

受影响的浏览器

DTPageSet.exe首要通过修正注册表,修正浏览器装备文件,修正浏览器快捷方法参数的方法来确定浏览器主页。

以QQ浏览器为例,DTPageSet.exe修正注册表来确定浏览器主页的相关代码和现象如下图所示:

修正QQ浏览器注册表

修正后的注册表及浏览器主页被确定

以搜狗浏览器为例,DTPageSet.exe修正浏览器装备文件来确定浏览器主页的相关代码和现象如下图所示:

修正浏览器装备文件相关代码

修正后的浏览器装备及浏览器主页被确定

以360安全浏览器为例,DTPageSet.exe修正浏览器快捷方法参数来确定浏览器主页的相关代码和现象如下图所示:

修正浏览器快捷方法参数

修正后的浏览器快捷方法参数及浏览器主页被确定

DTPageSet.exe除了上述确定浏览器主页行为外,还会将云端下放的书签装备增加到浏览器之中,增加浏览器书签相关装备信息如下图所示:

浏览器书签相关装备

下面以360安全浏览器为例,增加浏览器书签相关代码及现象如下图所示:

创立并写入书签相关代码

浏览器中被刺进的书签

commander剖析

如前文所述,多特下载站下载器会静默推行木马程序commander。commander软件被下载器静默推行装置到%APPDATA%\commander文件夹下,中心进程无任何提示。且在开始菜单、桌面和任务栏上都没有软件功用的进口,用户底子无法察觉到软件的装置。该软件在装置后会下载履行多个广告弹窗模块进行广告推行,而且会下载履行静默推行模块,推行软件。

Commander在装置后,会将Services.exe模块注册为服务,开机自启。Services模块会守时发动commandtools.exe。commandtools.exe模块会从服务器地址下载到加密的装备文件config.dll,并依据装备下载履行广告弹窗和软件推行模块。装备文件,如下图所示:

装备文件

commandtools.exe模块会对装备文件中block字段中的一切弹窗和推行模块进行遍历下载履行。每个模块在下载之前,能够依据装备文件设置一些下载条件,比方检测环境,过滤进程等。下载履行代码,如下图所示:

遍历下载履行模块

在现在的装备中,下发的广告弹窗程序有多个,但只要两种,从服务器下载的途径上看,应该为同一程序的不同版别,不同不大。该广告弹窗模块会频频弹出,且窗口多样。广告弹窗现象,如下图所示:

广告弹窗图

appupdui.exe在运转时会依据装备通过枚举进程名的方法对体系中的软件环境进行检测,除此之外还会检测当时IP所在城市,被检测的城市包含:北京、上海、广州、珠海、杭州、西安、马鞍山、姑苏、武汉、天津、合肥。被检测的进程,如下图所示:

检测的环境

检测城市和软件环境相关代码,如下图所示:

环境检测和城市检测代码

通过遍历进程的方法检测软件环境,相关代码如下图所示:

进程检测代码

appupdui.exe模块会依据config.dll装备中的ads软件ID列表进行静默下载装置流氓软件。ads列表中的软件ID号与config.dll中的[Exe]部分的推行软件相关装备一一对应,如Exe_783与软件帮手相关装备对应。相关装备,如下图所示:

静默推行相关装备

依据装备文件中的下载地址静默下载履行装置包程序,相关代码如下图所示:

依据config.dll中的装备静默下载履行软件装置包

通过剖析咱们发现,被commander静默推行的软件,与commander系为同一作者编写,且装置后都带有与commandtools.exe相同的歹意功用模块。在这些被推行的软件config.dll装备中,暂未发现下载appupdui.exe的相关装备,但不扫除将来下发其他歹意功用模块的可能性。相关代码同源性比照图,如下图所示:

代码同源性比照图

样本hash

声明:本文来自火绒安全实验室,版权归作者一切。文章内容仅代表作者独立观念,不代表安全内参态度,转载意图在于传递更多信息。如有侵权,请联络 anquanneican@163.com。