流氓软件化身“卫士” 携带病毒对抗安全软件

飞翔病毒

分析报告下载地址：http://pan.baidu.com/s/1dES83nV

一、背景
近期我们接到用户反馈。刚刚装好的系统无法安装火绒安全软件，表现为：安装程序执行安装步骤到一半的时候，安装程序自己消失，除此以外浏览器首页也被恶意篡改。通过定位问题，我们在用户计算机上提取了和中毒现象相关的八个病毒文件。在进一步的分析中我们发现，提取的文件是一组病毒，并且和两个叫做“卫士”的软件有关联，分别是：“浏览器卫士”和“铠甲卫士”。
这个发现并不让我们感到意外，这些年免费的“卫士”类软件不断出现，一般都是广告满天、弹窗不断，浏览器主页“被”保护，当然这些都是“增值功能”，大多还是有安全防护能力的。但是今天这两个”卫士“，颠覆了我们的三观：打着卫士的幌子，作着流氓的生意，没有安全软件的功能，却屏蔽安全软件的安装，和真正危害计算机安全的病毒的共存，所谓的“卫士”，最主要的功能除了锁首截取导航站流量，下载推广软件。

二、病毒分析
中毒计算机可以在C:\WINDOWS\system32\Qprotect目录找到以下六个文件（x64系统安装目录就是C:\Windows\SysWOW64\Qprotect目录）：“QProtect.sys、QProtect64.sys、svchost.exe、QProtect.dll、QProtect64.dll、csrss.exe”。在C:\Windows\System32\Drivers目录下找到另外两个以“usb”字母开头，文件名称随机的驱动文件。根据提取的文件，我们在火绒病毒实验室复现了用户现场。
Qprotect文件夹下的病毒文件名相似，创建时间也相同。其余两组文件usb3568.sys、usb79701.sys看起来和第一组病毒没有太大关系。但是这些病毒的数字签名的签名人姓名一致，签名日期相近，很可能是由一个病毒释放器安装的，如图2-1：



图2-1、病毒文件数字签名一致

中毒的计算机有两个明显的现象：安全软件无法安装，首页被劫持。除此之外还有一个不太容易注意到的问题，就是安装某些软件的时候，启动的安装程序并不是用户自己下载的。按照现象我们分为三组：
第一组病毒的负责替换用户下载的常见软件安装包，替换为带有病毒作者推广信息的安装包，截取软件安装量。相关文件有：QProtect.sys、QProtect64.sys、svchost.exe、QProtect.dll、QProtect64.dll、csrss.exe。
第二组病毒,只有usb3568.sys一个文件。负责对抗安全软件，阻止安全软件进入中毒计算机。病毒文件名很可能会有不同变化，一般规律是“usb“字母开头后跟4位数字。
第三组文件也只有一个“usb79701.sys”，该病毒文件名称也是随机，usb字母开头后跟5位随机数字，负责对抗安全软件的首页保护功能，截取浏览器导航页面流量。
三组病毒按照功能：“推广软件安装”，“阻止安全软件安装”和“破坏安全软件功能”分别进行分析。
1.      
2.      
2.1   推广软件安装
Qprotect目录下的病毒是第一组。csrss.exe这个文件是整组程序的主模块。它接受一个参数“/load”，添加该参数启动后，csrss.exe会执行以下流程：
1.    将病毒从任意目录复制到C:\WINDOWS\system32\Qprotect目录下，x64系统安装目录就是C:\Windows\SysWOW64\Qprotect。
2.   加载驱动文件QProtect.sys，x64下是Qprotect64.sys。
3.   联网在hxxp://bbup.201061.com下载带有病毒作者推广信息的安装包到%Windir%\Qhotfix目录下，如图2-2：



图2-2、csrss.exe执行流程

4.   x86下csrss.exe会对新启动进程注入Qprotect.dll，x64位程序由svchost.exe负责注入。Qprotect.dll、Qprotect64.dll动态库的功能相同。注入后的Qprotect动态库会挂钩CreateProcessInternalW系统函数，拦截被注入进程启动的程序。如图2-3：



图2-3、Qprotect挂钩CreateProcessInternalW系统函数

以Qprotect.dll注入资源管理器（explorer.exe）为例，Qprotect.dll会调用VerQueryValueW函数得到explorer.exe欲启动程序的详细信息，调用证书相关API得到启动程序的签名信息，和病毒内置的推广软件安装包信息进行对比。如果explorer.exe启动的程序是一个安装包，并且在病毒自己的列表内，就会启动%Windir%\Qhotfix目录下的对应的安装包安装，以QQ浏览器为例，如图2-4、2-5：



图2-4、用户下载的QQ浏览器和explorer.exe启动的QQ浏览器不同


图2-5、explorer.exe启动的QQ浏览器

这些安装包都包含有渠道商信息，如果不使用监控工具，用户根本不可能知道自己下载的安装包被替换运行过，通过此方法可以悄声无息的截取软件安装量。病毒内完整功能的推广列表如下（图2-6）：



图2-6、提取病毒和推广软件功能相关的可见字符

QProtect.sys驱动负责保护HKLM\SOFTWARE\Qprotect、HKLM\SYSTEM\CurrentControlSet\Services\Qprotect注册表项不被修改删除。保护Qprotect文件夹下的病毒文件不被修改、删除。这样病毒可以长期驻留用户计算机。
这一组病毒文件模块众多，表面功能简单。但是仔细分析可以发现，病毒不是只有表现的这些功能。在分析Qprotect.sys代码时，我们发现了该驱动可以“保护”默认浏览器注册表项，阻止安装第三方浏览器的功能，但是实际测试时并没有生效。如图2-7：


图2-7、Qprotect.sys中没有用到的字符串

同样在病毒程序csrss.exe的资源文件中，我们发现一个名为ZIPRES\0083\0804的压缩包资源，解压出来可以看到如下内容（图2-8、2-9）：


图2-8、csrss.exe内包含的图片资源


图2-9、csrss.exe内包含的文字资源

一个是默认浏览器注册表项和浏览器列表，一个是“浏览器卫士”的贴图和文字资源，而以上两点，都没有看到病毒使用。这说明该病毒和名为"浏览器卫士"软件存在联系。在同源性分析章节，我们会对"浏览器卫士"这条线索继续追查，证明此事。
2.2  阻止安全软件安装
第二组病毒usb3568.sys就是在用户计算机上无法安装安全软件的元凶。病毒功能简单，就是对抗安全软件的安装，如果有安全软件在安装，就会结束安装包的进程。
该病毒驱动加载后会初始化过滤文件列表，列表内包含有绝大多数的安全软件关键文件名称，只要出现在该列表内文件，都会在病毒文件过滤功能中拦截，病毒发现若是有安装程序创建列表内的文件，就会调用内核函数ZwTerminateProcess将创建文件的进程结束，阻止安装程序继续安装。
有意思的是，该病毒调试日志丰富，如果启动内核调试器调试，可以看到病毒打印出来的调试日志信息，调试信息中包含了病毒要过滤文件的完整列表，列表内包含了国内外几乎常见的所有安全软件关键文件，如图2-10：

图2-10、病毒打印的日志

和第一组病毒一样，我们发现usb3568.sys包含部分代码不会被调用，比如：病毒创建的设备“\Device\KJAnti”、还有“\\KJClientPort”都可以和上层应用程序进行通信。但是在用户计算机上没有找到上层应用。这的符号名中都包含“KJ”也是重要的线索，在同源性分析章节，也会继续追查，寻找病毒源头。
2.3  破坏安全软件功能
第三组程序usb79701.sys是整个病毒的核心，负责截取用户首页流量，也是功能比较多的一个驱动模块。病毒中包含的所有有用信息全都被加密保存对抗分析，这是其他两组程序没有的。
usb79701.sys驱动首次加载后，会复制自身到系统drivers目录下，然后删除驱动原始文件。将新释放的驱动加载到用户系统，并且删除驱动的注册表服务启动项，做到无启动项，后续通过关机回掉函数，在关机的时候写回启动项。复制到drivers目录下新的病毒文件名是随机的。无启动项、随机文件名，都给手工检测、发现病毒提高了难度。
加载后的病毒会在用户桌面创建“淘宝.url”文件，在用户收藏夹也会创建三个url文件分别是：“百度.url"”、“京东商城.url"”和“淘宝.url"”，如图2-11：



图2-11、病毒添加的URL文件

三个URL的链接分别指向以下三个网址，最终回跳到下表右侧的“跳转链接“指向的网址，如下：

         
添加链接hxxp://ie.150398.com/baidu.html
跳转链接hxxps://www.baidu.com/index.php?tn=93139410_hao_pg
hxxp://ie.150398.com/taobao.html
hxxp://ai.taobao.com/?pid=mm_120655403_19768235_68200168
hxxp://ie.150398.com/jingdong.html
hxxps://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000023102_&utm_term=139109ff8cf04e53a91cf9a66f385e7f&abt=3
                                                

其中百度和淘宝的两个URL并不是直接跳转的，中间会有一个跳转页面。百度的是的是hxxp://www.112112.com，淘宝的是hxxp://shop.156038.com。这两个网址直接访问都显示的都是正常页面，但是如果修改了referrer，就会跳转到病毒访问的推广页面，如图2-12、2-13：


图2-12、修改referrer会的到不同的结果


图2-13、修改referrer会的到不同的结果

我们猜测这样做的目的是为了让带有推广号的导航页面更隐蔽。除了释放URL病毒驱动还包含其他RootKit功能：
1.注册文件过滤驱动，如图2-14。

2.注册进程通知、映像通知、和关机通知几个内核通知，如图2-15。

图2-14、病毒包含文件过滤功能


图2-15、病毒包含进程通知、关键通知、和映像通知

下面分别进行详细说明：
文件过滤驱动主要负责病毒文件的隐藏和保护工作，如果在中毒计算机直接查看文件信息，看到的都是系统动态库Ntdll.dll的信息。用于迷惑用户和安全研究人员。恢复文件过滤器就可以看到真实的文件信息和数字签名，如图2-16、2-17：

图2-16、文件过滤功能生效的情况下看到的假信息


图2-17、文件过滤功能失效的情况下看到的真实信息

关机通知负责驱动的服务项回写。因为驱动注册成功后会删除相关启动项，病毒注册关机通知就可以利用关机回调函数回写注册表启动项。做到有病毒无启动项。并且在关机时添加服务启动项可以过掉主流安全软件的主防拦截。同样用户正常关机后可以在PE系统下看到的关机后病毒添加的注册表驱动服务启动项，如图2-18：


图2-18、PE系统下看到病毒关机添加的驱动启动项

映像通知负责病毒驱动对抗安全软件的首页保护功能。病毒驱动在映像文件加载的时候，会判断是否是浏览器进程，该进程中是否注入了安全软件浏览器首页锁定相关动态库，如果都满足就补丁首页保护动态库入口代码使其加载失败，失去浏览器保护功能，如图：，被Patch完的某安全软件首页保护动态库模块入口代码，如图2-19、2-20：

图2-19、病毒Patch安全软件首页保护功能的反汇编流程图


图2-20、被Patch的某安全软件的入口点代码

除了图中展示的某安全软件的首页保护动态库以外，病毒补丁入口的全部动态库列表如下：
*\QMPROTECT.DLL
*\QMIESAFEDLL.DLL
*\KSHMPG.DLL
*\KWSUI.DLL
*\KSHMPGEXT.DLL
*\QMIESAFEDLL64.DLL
*\SAFEWRAPPER64.DLL
*\KWSUI64.DLL
进程通知负责判断启动进程是否浏览器进程，如果是则通过PsGetProcessPeb得到PROCESS_PARAMETERS.CommandLine.Buffer直接修改添加导航页面，用作流量截取。添加的导航网址是hxxp://123.150398.com/，问号后面的是驱动的安装日期，是病毒作者用于统计的标记，如图2-21：


图2-21、病毒劫持的首页

有意思的是，在病毒代码中我们发现有一段用于检测是否存在KJService.exe（区分大小写）进程的代码片段。如果存在该进程，病毒的进程通知中给浏览器命令行添加导航页面的功能将不再生效，没有多余的任何判断。这又引起了我们的注意。结合之前的字符串"KJAnti"和"KJClientPort"，和现在的“KJService.exe” 都包含“KJ”字样。“KJ”指的会是什么。下一章的同源性分析中我们将会继续追踪。

三、同源性分析
3.1   “浏览器卫士”病毒
通过火绒情报威胁系统，对病毒文件Qprotect,sys的火绒检测结果进行检索。可以找到包含该病毒样本，SHA1是5fd5e56cfe51a1fb90852e6fb11c8bd2f7f6d610，是一个自身描述为“浏览器卫士安装程序”的安装包文件。
找到的“浏览器卫士”是一个静默安装包，默认的安装路径、驱动名称和病毒只有一个字母的差别，如图3-1：


图3-1、“浏览器卫士”静默包安装路径和安装后文件

如果分别对驱动文件通过简单提取字符比较，可以看到两者相似度极高，左边是”浏览器卫士”HProtect.sys的字符数据，右边是病毒Qprotect.sys的字符数据。如图3-2：火绒对两个文件的检测结果也是一致：“Trojan/Kiaja.a”。


图3-2、左侧是“浏览器卫士”，右侧是病毒文件

在查看HProtect.exe的资源文件中，可以找到名为ZIPRES\0065\0804的压缩包资源，解压出来的资源和第一组病毒的csrss.exe也是一样。
我们找到”浏览器卫士”包含用户界面，功能上除了拦截浏览器，还会对安全软件进行拦截。如图3-3：


图3-3、安装安全软件的时候会在屏幕右下角弹出提示，默认阻止

完整拦截文件的列表如下：2345MPCSafe.exe、HipsMain.exe、rsmain.exe 、kismain.exe、KSafe.exe、BaiduSd.exe、BaiduAn.exe、360sd.exe、360Safe.exe、YYExplorer.exe、baidubrowser.exe、UCBrowser.exe、Opera.exe、Theworld.exe、firefox.exe、maxthon.exe、2345explorer.exe、sogouexplorer.exe、qqbrowser.exe、chrome.exe、liebao.exe、360chrome.exe、360se.exe。
而且”浏览器卫士”安装后无法在添加删除里卸载，卸载只能通过设置界面的卸载按钮才能完成。如图3-4：

图3-4、卸载功能在软件设置中，且卸载按钮为灰色。

以“浏览器卫士”作为关键字在百度知道进行搜索，可以看到很多用户都遇到了“浏览器卫士”阻止安装浏览器的，并且针对“浏览器卫士”卸载的卸载也有用户询问，如图3-5：

图3-5、用户针对“浏览器卫士”遇到的问题

通过分析可以确认“浏览器卫士”就是一个打着卫士幌子的病毒。自身没有提供任何和安全相关功能，还阻止其他安全软件的安装。这个“卫士”还只是一个“单纯”的KillAV（特指对抗安全软件的病毒），下一个“卫士”可就不那么简单了。
3.1  
3.2  “铠甲卫士”病毒
再看第二组病毒同源信息，我们使用关键字"KJAnti"关键字进行搜索，可以得到“铠甲卫士"（hxxp://www.kaijiaweishi.com）这条线索。而汉语拼音的“KaiJia”首字母缩写正是“KJ”二字。这说明后两组usb字母开头的驱动文件和铠甲卫士这款软件一定存在关系。
在铠甲卫士的主页可以看到，它有两个主要版本1.x和2.x。分别下载kjaqws_1.0.16.233.1458641936.exe（下文简称KJ1.x或者铠甲病毒第一代）[url=mailto:%E5%92%8CKaiJiaSetup@gw_2.0.16.927%EF%BC%88%E4%B8%8B%E6%96%87%E7%AE%80%E7%A7%B0KJ2.x]和KaiJiaSetup@gw_2.0.16.927（下文简称KJ2.x[/url]或者铠甲病毒第二代），在安装后分别进行分析验证。
3.3   铠甲病毒第一代
KJ1.x安装完成后，可以在安装目录（C:\ProgramFiles\KaiJia）下的Drivers文件夹找到两个驱动文件kjanti.sys和kjanti64.sys。通过简单字符对比和IDA引用分析，可以确认KJ1.x的驱动文件kjanti.sys和火绒捕获usb3568.sys病毒功能一致，如图3-6、3-7：


图3-6、左侧是病毒，右侧是铠甲卫士


图3-7、左侧是病毒，右侧是铠甲卫士

对比病毒驱动usb3568.sys和铠甲卫士kjanti.sys的数字签名时间可以看出，铠甲卫士驱动的出现时间更早，先有的铠甲卫士后出现的病毒。如图3-8：


图3-8、病毒和铠甲卫士一代的签名时间对比
3.4  铠甲病毒第二代
在2016年9月铠甲卫士更新到了v2.0.16.927版本。重新安装v2.0.16.927后，安装目录“kjanti.sys“和“kjanti64.sys”两个驱动已经找不到了，但是名为“KJService.exe“文件出现在我们眼前，“KJService.exe“文件的自我描述为“铠甲安全卫士-安全防护服务”。这个文件名称我们在第三组病毒“usb79701.sys”中曾经看到过。
在上文分析中，病毒“usb79701.sys“会检测中毒计算机是否存在“KJService.exe”（区分大小写）进程。如果存在，则首页劫持代码就不会生效，这一定不是巧合。继续查看KJService.exe和病毒usb79701.sys的文件签名时间也是出现在同一天，如果不事先知情，病毒代码又怎么会和“铠甲卫士“的程序上做到同步修改呢？如图3-9:
图3-9、铠甲卫士二代包含了病毒寻找的KJService.exe这个文件

经过试用，“铠甲卫士“一代和”铠甲卫士“二代，同“浏览器卫士“一样，都不具有安全软件基本的功能，无法保护用户计算机安全，在安全功能不足的情况下，专精首页锁定，锁首页面“45.cc、696123.com”和软件推广。
   我们列出前文出现的所有可疑域名：201061.com、150398.com、112112.com、156038.com、kaijiaweishi.com、696123.com 、45.cc和rjguanjia.com。在whois.chinaz.com上进行域名检索。可以发现除“150398.com”域名外，注册人都为一个，如图3-10：

图3-10、201061.com在whois.chinaz.com的查询结果

根据注册的QQ邮箱反查，可以看到该邮箱注册多个域名，其中绝大多数都是导航站。完整列表如下图(3-11)：

图3-11、whois.chinaz.com上通过邮箱反查得到的全部域名

浏览这些域名，有几个域名引起我们的注意“bigbaicai.com”， “ushendu.net“、“laomaotaoupan.cn”。再加上第一章交代的用户反馈：“刚刚装好的系统无法安装火绒安全软件”，我们怀疑在病毒是在启动盘的时候安装的。通过搜索引擎搜素验证了我们的猜想。如图3-12：
图3-12、网络上关于铠甲卫士的相关问题


四、附录
  
QProtect.sys
         
6e65611aa8e3b5007f9ee0a9e6fa25075a62df85
QProtect64.sys
754ca3d964596b870aa2bdbe7ebe754d087a2ca3
usb3568.sys
654c1eb569dfd44d2d6da1e987ccc2e3d12f16a0
usb79701.sys
a022ae991fe771a624609eec3fd945fb0c5f1042
usb3568.sys（x64）
5ceabc70723bf53557562277681607dbf3429b89
usb79701.sys（x64）
65dddb5357cfcb7b33792d318a11474b071c4c81
svchost.exe
68825ac3c7b53c7ec74c97ccee37e8cd1c21335c
csrss.exe
1ceca8919d7fbb70cceb4249b5b65b54f0ef75d9
QProtect.dll
c1a3c3926712d7454916b5049324e5f120950a4b
QProtect64.dll
54fca4c4382ff35e2e636245164a75c2b3c35bf7
kjanti.sys:
df4277c037ff08307d9d73f47e718768482f32da
kjanti64.sys
915632f398d779e5d13dcd8b42fd45fdc5c94878
kjaqws_1.0.16.233.1458641936.exe
263103ec357cc91ab71e7a18864abb3df810f0b4
KaiJiaSetup@gw_2.0.16.927.exe
518c01705e89ec231e1de75656f4a9ca0d5303b6
KaiJiaSetup@gw_2.0.16.1111.exe
c2c864234a2ce1079151cd33f97dd3c5f1c6b0a4
浏览器卫士静默包
5fd5e56cfe51a1fb90852e6fb11c8bd2f7f6d610

pal家族

HR棒棒哒！@vm001 快通过MD5把文件找到然后发到样本区吧~~~每次都是你这么主动

飞翔病毒

pal家族 发表于 2017-1-4 19:54
HR棒棒哒！@vm001 快通过MD5把文件找到然后发到样本区吧~~~每次都是你这么主动

HR是什么东东

pal家族

飞翔病毒 发表于 2017-1-4 19:58
HR是什么东东

huorong

vm001

pal家族 发表于 2017-1-4 19:54
HR棒棒哒！@vm001 快通过MD5把文件找到然后发到样本区吧~~~每次都是你这么主动

报告里不是说了浏览器卫士和铠甲卫士了吗，下载试一试

chenrui19930

记得前几个月还有人在国内区发帖问铠甲卫士是什么~~~~现在想来不是被忽悠了就是推广文吧

zmyx279323199

是不是谁都可以拿到数字签名？

飞翔病毒

看注册的导航站，好多这钓鱼站，伪装的大白菜PE 开机卫士 老毛桃PE 软件大全 软件管家 U启动 深度 雨林木风

nazisoft

行为很恶劣啊

dsb2466

现在的Ghost系统套路很多的，这种是利用fake AV的方法来进行劫持的。不过现在更流行用正常的AV来劫持，HR可以再写一篇哦