激活工具带毒感染量近60万 北京等四城市用户不被攻击

潘中医

原帖：https://www.huorong.cn/info/1526627586130.html
一、        概述
近日，火绒安全团队发现，用户在知名下载站"系统之家"下载安装"小马激活"及"OFFICE2016"两款激活工具时，会被植入病毒"Justler"，该病毒会劫持用户浏览器首页。病毒"Justler"作者极为谨慎，会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区的IP。除这几个地区以外的用户，下载到的软件均可能带毒。据"火绒威胁情报系统"监测和评估，截至目前，该病毒感染量已近60万。

病毒"Justler"通过知名下载站"系统之家"（xitongzhijia.net）传播。当用户试图下载"小马激活"及"OFFICE2016"两款激活工具时，"系统之家"会识别访问IP，当用户IP地址不属于北京、厦门、深圳、泉州四个地区时，则会跳转到被植入病毒代码的软件下载链接。
另外根据跳转链接域名，我们进一步发现了一个站点名同为"系统之家"（win.100ea.com）的网站。而该网站中提供的系统盘也同样携带病毒"Justler"。
一旦运行"小马激活工具"、"OFFICE 2016激活工具"安装包，病毒"Justler"也随之被激活。之后，该病毒将篡改被感染电脑的浏览器首页，劫持流量。
火绒安全团队发现，利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增多趋势。由于激活工具通常是装机后首先安装的软件，因此此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。

"火绒安全软件"最新版可拦截并查杀病毒"Justler"。对于已经感染该病毒的非火绒用户，可以下载使用"火绒专杀工具"彻底查杀该病毒。

二、        样本分析
本次火绒所截获的病毒样本将自己伪装成了小马激活工具，在运行原版小马激活工具的同时，还会释放加载恶意驱动进行流量劫持。样本来源为名叫 "系统之家"的软件站（www.xitongzhijia.net），该站点在百度搜索"系统之家"后的搜索结果排名中居于首位，且被标注有"官网"标志。百度搜索"系统之家"后的搜索结果，如下图所示：

百度搜索结果

该站点主页页面，如下图所示：

站点页面

病毒将自己伪装成小马激活工具，病毒在运行首先会释放运行原始的小马激活工具，之后会释放加载病毒驱动进行流量劫持。病毒的下载页面（hxxp://www.xitongzhijia.net/soft/28841.html）会根据访问者IP的不同而变化，例如当访问用户的IP对应区域为北京时，下载地址链接，如下图红框所示：

病毒下载页面（北京IP访问）

但在我们使用HTTP代{过}{滤}理访问后，下载地址链接出现了变化，变为了百度云盘下载。通过一段时间的测试我们发现，在使用HTTP代{过}{滤}理的情况下，下载页面并不是每次都会显示百度云盘下载链接，病毒作者可能利用这种方式对抗安全厂商的样本收集。下载页面，如下图所示：

病毒下载页面（HTTP代{过}{滤}理访问）

点击上图中的"百度云盘下载"链接后，页面会跳转至hxxp://go.100ea.com/oem9/down.html。该页面中包含的JavaScrIPt脚本可以根据用户的当前IP地址所属地域，跳转至不同的百度云盘地址。如果通过IP地域查询，获取到当前所属城市为北京、厦门、深圳或泉州，则会跳转到无毒版本小马激活工具的百度云盘下载页面；如果当前所属地为其他城市，则会跳转到带毒小马激活工具的下载地址。脚本内容，如下图所示：

跳转脚本内容

带毒小马激活样本由三层释放器构成，病毒整体结构如下图所示：

病毒整体结构

三层释放器中都带有检测安全软件的代码逻辑，如果检测到安全软件则会弹出提示"为了顺利激活系统，请先退出杀毒软件"，最后退出执行。提示弹窗，如下图所示：

提示弹窗

相关代码，如下图所示：

相关代码

oem9.exe和uuu.exe代码逻辑大致相同，均是对原始PE映像解密后进行释放。以oem9.exe为例相关代码，如下图所示：

释放器代码逻辑

前两层释放器释放结束后会释放执行xxx.exe，xxx.exe资源"RES"中包含被加密的压缩数据，该资源起始处可以看到RAR标记，但是其实起始位置数据是用来迷惑分析人员的。相关资源数据，如下图所示：

RES资源其实位置内容

真正的压缩数据起始位置为该资源偏移为0x41BB0B(0x41BB0B = 0x41BF0B（传入参数） - 0x400)的位置，压缩数据被逐字节加0x62加密过，解密后可以得到原始7z压缩数据。相关代码，如下图所示：

压缩数据解密代码

将数据解压后我们得到了恶意驱动压缩包（解压后驱动名为jus3310s.sys）和原始的小马激活工具（ActE.exe），如下图所示：

解压后文件

在火绒虚拟行为沙盒中的运行情况，如下图所示：

虚拟行为沙盒运行情况

恶意驱动jus3310s.sys加载后，会注册映像加载回调劫持浏览器启动参数。当映像文件名为浏览器文件名时，恶意驱动会将浏览器启动参数劫持为如下网址。劫持所使用的网址，如下图所示：

劫持网址列表

受影响浏览器列表，如下图所示：

受影响的浏览器列表

恶意驱动首先会对加载映像的文件名进行检测，检查是否为浏览器文件名，之后对其父进程进行检测查看父进程是否为桌面进程（包括系统explorer、360桌面助手和360安全桌面），如果父进程是桌面进程则会对启动参数进行劫持。过滤浏览器进程相关代码，如下图所示：

过滤浏览器进程代码

检测父进程是否为桌面进程相关代码，如下图所示：

进程父进程代码

三、        溯源分析
通过我们对下载到病毒的系统之家网站内容进行排查，我们发现类似的带毒激活工具并不只有一个。在该网站的软件总排行列表中，我们暂时发现带毒的激活工具共有两个，且通过百度云盘链接最终下载到的病毒程序也在不断更新，病毒行为也可能不断进行变化。网站软件总排行列表，如下图所示：

软件总排行列表

如上图，红框所示即为带毒的激活工具，两款激活工具排名非常靠前，排名分别在第五位和第六位，以此来诱骗用户进行下载执行。另一款带毒的激活工具最终所释放的恶意驱动（bus3310s.sys）与前文中所述恶意驱动（jus3310s.sys）具有很高的相似性，显然两个病毒样本出自同一病毒作者之手。同源代码，如下图所示：

同源代码

除此之外，通过搜索前文中提到包含跳转脚本的网址域名（hxxp://100ea.com）,我们发现该域名还存在一个名为hxxp://win.100ea.com的子域名，该站点名同为"系统之家"。我们在该网站中下载的（hxxp://win.100ea.com/dngs64win10.html）系统盘镜像中也同样发现了同样的病毒样本，而且系统盘中的恶意驱动（yhxmabc.sys）样本哈希与前文中所述样本jus3310s.sys（x64）哈希相同，即该站点中的系统盘也同样包含有相同病毒。该网址页面，如下图所示：

win.100ea.com网站页面

带毒的系统盘下载页面，如下图所示：

带毒系统盘下载页面

样本哈希对比，如下图所示：

样本哈希对比

四、        延伸样本分析
火绒近期发现，利用激活工具和系统盘进行传播的病毒和流氓软件有逐渐增多趋势，此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。此前在火绒发布的报告《"小马激活"病毒新变种分析报告》和《盗版用户面临的"APT攻击"风险》中，也对利用这两种方式进行传播的病毒样本进行过详细分析。除了上述样本外，火绒近期还截获了另一款利用系统盘途径进行传播流氓软件，该流氓软件会利用一键装机工具下载带有流氓软件系统镜像的方式进行传播。
现象
本次火绒截获到的流氓软件名为"主页守护神"，会通过一款名为"云骑士装机大师"的一键装机工具下载带有流氓软件系统镜像，之后在本地对系统镜像进行安装从而达到传播目的。流氓软件运行后，除了首页锁定功能外还具有软件推送的功能，将来可能用于进行软件推广或者广告程序推广。经过火绒对"云骑士装机大师"软件的溯源分析，我们发现传播该流氓软件的一键装机工具数量众多。如下图所示：

传播该流氓软件的装机工具及官网网址

上述一键装机工具官网页面，如下图所示：

云骑士装机大师官网

上述装机工具在下载系统镜像时，会在同一服务器地址（hxxp://hsds.ruanjiandown.com）下载相同的gho文件至本地进行安装。在该系统镜像中，除了会预装流氓软件外，还会预装安全软件（360安全套装和QQ管家安全套装），由于这两款安全软件并不会检测该流氓软件，所以通过该装机工具安装系统的用户通常并不会知道系统已经被植入了流氓软件。"安全套装"选择窗口，如下图所示：

"安全套装"选择窗口

系统安装完成后，"主页守护神"会被安装到系统中的Program Files\PageGuard目录下。该流氓软件表面上的软件功能为主页保护，但在其软件代码中还包含有软件推送的相关代码逻辑。但截至到报告发布前，软件推送的相关配置暂时尚未设置软件推送数据，但不排除该流氓软件将来借助软件推送功能进行软件静默推广或广告程序推送的可能性。在双击运行该软件的主程序时，会弹出首页及默认浏览器的设置界面，但是该软件的自启动项中被设置了隐藏执行参数，自启运行时不会显示软件界面。软件界面，如下图所示：

"主页守护神"软件界面

该软件的启动项注册表，如下图所示：

启动项

该软件被安装后不会创建桌面快捷方式，在系统控制面板中也无法找到该软件的卸载项。该软件以隐藏方式启动后，如果运行软件推送逻辑，用户将很难对其软件推送行为有所察觉。
详细分析
在该软件安装目录中，存放有首页锁定功能的相关配置。配置信息，如下图所示：

劫持配置

首页锁定功能是通过PGFltMgr.sys（包含劫持与自保功能）和PGFltMgrLib.dll（与驱动进行通讯）来实现的，PGFltMgrLib.dll为ring3层调用PGFltMgr.sys驱动的唯一接口。在调用PGFltMgrLib.dll导出函数SetHomePageLockerW后，PGFltMgr.sys驱动的会在映像加载时，将BrowserInjectDll.dll注入到指定进程中。BrowserInjectDll.dll镜像内容可以通过远程服务器进行下载，现阶段其中代码会Hook GetCommandLineA和GetCommandLineW，最后通过篡改命令行参数达到首页锁定目的。PageGuard.exe中的首页锁定功能相关代码，如下图所示：

劫持功能相关代码

BrowserInjectDll.dll中的Hook代码，如下图所示：

Hook代码

除了首页锁定功能外，还会根据配置调用Downloader.exe利用迅雷的下载组件下载推送其他程序，但是相关功能配置暂时为空，暂时不会进行软件推送。软件推送配置文件内容，如下图所示：

软件推广配置信息

软件推送相关代码逻辑，如下图所示：

执行推送程序代码

软件推送下载代码

该流氓软件除了上述功能外，还有具有一定的自保能力，可以对与自身软件相关的启动项进行保护。被保护的键值包括：PageGuard主程序启动项、PageGuard服务启动项和IE首页项。相关代码，如下图所示：

注册表保护代码逻辑

五、        附录
文中涉及样本SHA256：

pal家族

太原电信
下载到的是
原版的oem7F7

追影子的十三

老中医是火绒内部人士么？

zkysir

确实是这样，原来可以直接下载的，最近地址变成了百度网盘，下载下来火绒报毒。（河南联通）
不过这问题有半个月了吧http://www.xitongzhijia.net这玩意老出问题，双枪2啥的

沧桑浪子

旧版小马激活工具没毒，但是win7很多都打不开了，可能是微软某些专门的补丁封杀了我有一个无毒很好用的
本来想发的，想想不发了吧，再让微软封杀了就不好了，哈哈哈

Windows7 激活程序阿非修改版  1.0.0.0版本

wowocock

看了下，木马驱动自我保护的还不错，保护了自身的文件和注册表，过了不少杀软，不过START 为1有点晚，急救箱秒杀之，这种都不用升级直接秒杀。

ATP_synthase

pal家族 发表于 2018-5-18 17:09
太原电信
下载到的是
原版的oem7F7

现在估计都收手了吧，中间跳转的网址打不开了

wowocock

测试了下，火绒的专杀可以查杀，其他的金山什么的都不行。火绒专杀是通过比较通用的方法，设置开机最早加载驱动然后将要禁止的木马注册表START设为4来禁止木马的加载，对于这种比较简单的木马应该问题不大，有些麻烦的就不好处理了，比如有些木马让你根本写不了注册表键，导致你的驱动根本别想开机加载。所以一般可以使用腾讯急救箱的方法，整个BOOTLDR来在精简的LINUX系统下查杀，但可能你写BOOTLOAD的机会都没。所以对抗这玩意无极限，没有最猥琐，只有更猥琐。

pal家族

wowocock 发表于 2018-5-18 18:11
测试了下，火绒的专杀可以查杀，其他的金山什么的都不行。火绒专杀是通过比较通用的方法，设置开机最早加载 ...

这些rootkit这么强，那像一些国外的rootkit查杀工具岂不是没法杀？
比如卡巴的tdsskiller之类的。。。只能用急救盘了吗

wowocock

pal家族 发表于 2018-5-18 18:14
这些rootkit这么强，那像一些国外的rootkit查杀工具岂不是没法杀？
比如卡巴的tdsskiller之类的。。。只 ...

对的，WINPE这类是唯一的方法，其他的各种对抗只是早死晚死而已。