查看: 4029|回复: 1
收起左侧

[技术原创] UU页游助手升级通道传播独狼Rootkit病毒,已感染上万台电脑

[复制链接]
腾讯电脑管家
发表于 2020-4-28 17:41:49 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-4-28 17:45 编辑

一、概述
近日,腾讯安全威胁情报中心检测发现,UU页游助手通过其软件升级通道,传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒,本次由于通过借助UU页游助手推广渠道流氓传播,使得该病毒在短时间内其感染量激增,受害网民已过万,分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。


二、病毒分析
UU页游助手安装完毕后,会在安装目录内安装名为PopTip.exe的模块,该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。



PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等,例如下图中从云端拉取的Mini页信息。



由于广告窗口没有显示厂商标识,没有广告来源信息,该软件在系统托盘区闪动消息提示,点击后会自动创建桌面页游图标,这些行为令用户十分反感。而PopTip.exe模块提供的升级功能,较多使用了流氓手段恶意推广安装,其中甚至包含病毒木马文件。
PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件:该窗口右上角的关闭按钮,无论如何点击均无法关闭,该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊,颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成,UU游戏助手则进行全程静默安装行为。


当前版本的poptip.exe模块通过以下两个地址,拉取推装程序到Roaming目录静默安装执行:
hxxp://www.fikuu.com/app/YXConvert_105301.exe(亿迅图片转换器)
Hxxp://www.jia7788.top:7788/new/a109.exe(数据优化服务:实际为病毒文件)



a109.exe模块会判断当前系统内是否包含安全软件的进程,当进程存在则向其窗口发送WM_QUIT尝试退出相关进程,同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码,释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序,将独狼Rootkit模块植入到系统内。



独狼Rootkit病毒,该病毒的特点之一是通过创建Minifilter文件过滤系统,用户使用系统文件管理器就会发现Drivers目录不可见,同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件,意思是,当你试图查看那些莫名其妙进来的随机文件名驱动文件时,你看到的实际是acpi.sys。
独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。


独狼rootkit病毒会向浏览器进程注入恶意代码,实现劫持浏览器启动命令行,达到主页劫持的目的。分析发现,当前主页配置信息暂未下发,病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期,保留了部分恶意行为暂不执行,当其感染量到达一定程度时,再随时下发劫持指令,实现浏览器劫持功能。
独狼Rootkit病毒可劫持数十款主流浏览器软件,包括IE、Chrome及其他国内用户常见的浏览器等等:


以插apc的方式向浏览器注入恶意代码:


我们通过对该病毒以往版本的分析,知道该病毒可以简单修改或升级配置,实现对浏览器主页的锁定功能,通常会将浏览器主页劫持到带推广id的2345广告站点。
当前病毒配置


简单构造病毒劫持配置文件desktop.ini


打开浏览器主页发现主页已被劫持到指定地址:


三、解决方案及安全建议

网上各种小众工具软件分发渠道良莠不齐,不少软件下载站暗藏玄机,很容易下载安装不需要的软件,甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件,或者通过腾讯电脑管家的软件管理功能下载需要的软件,启用腾讯电脑管家的权限雷达,帮助过滤软件包中存在的静默安装、恶意弹窗,管理开机自动运行等有损用户体验的情况发生。


腾讯电脑管家查杀UU页游助手


管家急救箱清理独狼Rootkit木马

腾讯安全产品针对UU页游助手传播独狼Rootkit病毒的解决方案清单:

拦截
位置
安全产品
解决方案
腾讯T-Sec
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力
1)独狼病毒相关联的IOCs已入库
腾讯T-Sec
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头
https://cloud.tencent.com/product/atts
1)支持独狼相关信息和情报支持
边界
防护
腾讯T-Sec
高级威胁检测系统
(腾讯御界)
基于网络流量进行威胁检测https://cloud.tencent.com/product/nta
1)支持独狼相关联的IOCs的识别拦截
云防火墙
(Cloud Firewall,CFW)
一款基于公有云环境下的 SaaS 化防火墙,为用户提供互联网边界防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。
https://cloud.tencent.com/product/cfw
1)支持独狼相关联的IOCs的识别检测
终端
保护
腾讯电脑管家
提供个人终端的PC安全防护,清理加速,软件管理,办公助手等服务
https://guanjia.qq.com/
1.相关数字签名云端已列入不可信名单;
2.电脑管家急救盘已支持独狼系列病毒查杀;
3.电脑管家已针对UU页游助手进行主动清理;
4.电脑管家已针对UU页游助手进行安装拦截;
5.支持独狼Rootkit相关变种的拦截清理。
腾讯T-Sec终端安全管理系统(御点)
企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等
https://s.tencent.com/product/yd/index.html
1.相关数字签名云端已列入不可信名单;
2.急救箱已支持独狼系列病毒查杀;
3.针对UU页游助手进行主动清理;
4针对UU页游助手进行安装拦截;
5.支持独狼相关变种的拦截清理。
IOCs
MD5
717d43d175430844467993ac4834396f
21a9876550dcebe12df9ec1011a01035
75f39f61ecc20a088766eb319d1ec9e2
7652ad8e2c69bef67c786eff3e9e3ef3
51991e47adb0b9160f077a0fc722f115
238b0180e66d16309efe50143b46560d
94f31a6d0d3243811705e0c9796cf060
8ec5ee614f76d0c547e2b76a52e8dae2
1374c22e5c861813c82bf6a1c8c159f9
Domain:
www.jia7788.top
update.uuyyzs.com
URL
hxxp://update.uuyyzs.com/query_action.php(UU页游助手云控地址)
Hxxp://www.jia7788.top:7788/new/a109.exe(独狼病毒母体投递地址)
相关签名信息:
南京凡游网络技术有限公司(UU页游助手签名,经验证不通过)
深圳市克罗姆科技有限公司(独狼病毒使用签名,经验证不通过)



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
古月哥欠 + 1 版区有你更精彩: )

查看全部评分

Invalid_ID
发表于 2020-5-15 07:47:42 | 显示全部楼层
本帖最后由 Invalid_ID 于 2020-5-15 07:56 编辑

进来看一眼,确定不是网易就行。话说,这官方安全工作人员好没存在感,都没人叼的嘛

多发水贴,少发技术贴才“符合“卡饭本质
还有,这么多原创,一不给技术二不加魅力评分

话说,这执行标准真的好那啥。。。卡饭普通会员都魅力评分泛滥了。。

官方工作人员连一点工作肯定和支持都不给

才发现这版区几乎只有这位工作人员一个人在刷……
看来腾讯电脑管家在卡饭的市场占有率也太……

管家出来这么久我今天第一天进来看一眼,别见笑,没见过世面
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:59 , Processed in 0.139336 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表