一、 详细分析
近期火绒接到用户反馈,在使用一款名为“装机助理”的软件重装系统后,安装其他软件会发现软件配置被篡改的情况。经过火绒分析,在使用软件提供的“装机助理系统”重装时,镜像中的恶意模块会释放针对多款软件(360、腾讯电脑管家、火绒等)的恶意配置文件。这些配置会在用户安装对应软件后生效,从而劫持浏览器首页、添加推广链接、添加杀软白名单和修改软件推广渠道号获利。
火绒用户无需担心:如火绒软件安装早于上述流氓软件,可直接对该装机工具进行拦截查杀;如 “装机助理”软件安装早于火绒软件导致受影响,用户可通过清空火绒“信任区”,进行“全盘查杀”,或直接联系火绒工程师解决问题。近年来,第三方装机工具往往是病毒、流氓软件的聚集地,对此,火绒工程师建议大家谨慎使用此类装机工具,请通过官方途径下载正规软件。
根据火绒工程师分析,“装机助理”软件携带的恶意模块会在PE环境下和系统重装首次启动后,释放安全软件、浏览器、影音播放等软件的恶意配置文件或添加注册表项,从而在用户安装对应软件后能够劫持首页、添加推广链接、添加自身到杀软白名单以及修改软件推广渠道号。同时恶意模块会释放驱动文件,云控劫持导航或搜索的推广链接。
“装机助理”软件,如下图所示:
受恶意配置影响的软件,如下图所示:
受影响的软件列表
恶意模块会释放360,腾讯电脑管家,火绒等安全软件配置文件,用于添加信任或锁定首页。360和腾讯电脑管家恶意配置为7z自解压包的形式,压缩的目录结构如下图所示:
恶意配置自解压包的目录结构
火绒及2345安全卫士的配置释放代码,如下图所示:
火绒及2345安全卫士的配置释放代码
由于这些配置文件存储用户相关的配置项,当这些安全软件安装后,会把这些配置当作是上次安装时留下的用户配置,从而被加载并生效。使用“装机助理系统“重装后安装360后,360信任区中出现了恶意模块相关的路径信任项和系统修复的信任项,以及优化记录中出现腾讯电脑管家。安装腾讯电脑管家和火绒后,腾讯电脑管家和火绒的信任区中新增了恶意模块相关的信任项以及首页锁定。具体现象,如下图所示:
360信任区
360优化记录
腾讯电脑管家信任区
腾讯电脑管家浏览器保护
火绒信任区
火绒浏览器保护
恶意模块会通过释放恶意浏览器配置文件和添加系统收藏夹的方式,劫持首页和新标签页,添加收藏夹、书签等。同样的,恶意模块形式为7z自解压包, 压缩的目录结构如下图所示:
恶意模块自解压包的目录结构
被劫持的首页和添加的书签、收藏夹如下图所示:
被劫持的首页及添加的书签
被劫持的IE首页及收藏夹
恶意模块会在桌面上添加快捷方式,指向推广链接程序,目前推广链接有百度搜索, 2345游戏, 京东领券中心,六间房直播。
推广快捷方式
恶意模块还会释放加载驱动文件,对访问的搜索导航以及装机网站等链接进行劫持。劫持链接的配置通过云控下发, 恶意模块会从C&C服务器hxxp://w3.i3h.net/w3123.txt请求劫持配置以及从hxxp://w3.i3h.net/w3456.txt 请求劫持白名单。具体配置内容,如下图所示:
部分劫持链接配置
劫持白名单
二、 附录
样本hash
| 
发表于 2021-4-14 19:09:37
我支持火绒。