根據(jù)火絨工程師分析�,“流星加速器”運(yùn)行后會(huì)釋放兩個(gè)病毒模塊,其中一個(gè)具備惡意代理功能���,可控制用戶電腦作為流量跳板;另一個(gè)模塊具備后門功能��,可執(zhí)行任意遠(yuǎn)程指令�,危害嚴(yán)重�����。此外�����,當(dāng)用戶卸載“流星加速器”后,上述病毒模塊會(huì)依舊駐留用戶電腦中����,繼續(xù)作惡�。
通過進(jìn)一步溯源調(diào)查�,火絨工程師發(fā)現(xiàn)“流星加速器”所屬公司旗下存在大量與數(shù)據(jù)爬蟲采集�、流量代理加速等相關(guān)產(chǎn)品。據(jù)此���,不排除該企業(yè)利用上述病毒�,控制用戶電腦并投入商業(yè)使用���,從而獲得盈利的可能���。
附:【分析報(bào)告】
一、 詳細(xì)分析
最近我們發(fā)現(xiàn)一組具有惡意代理功能(LocalNetwork.exe)及后門功能(SecurityGuard.exe)的程序模塊。經(jīng)溯源發(fā)現(xiàn)��,這兩個(gè)惡意模塊均由流星加速器安裝包所釋放�����、運(yùn)行����,且當(dāng)流星加速器被卸載之后�,上述惡意模塊仍然殘留在用戶電腦中。帶有惡意模塊的流星加速器安裝包是由下載器所靜默推廣����,此次涉及到的下載站有中關(guān)村在線(zol.com.cn)等。相關(guān)信息如下圖所示:
下載器推廣截圖
軟件安裝包數(shù)字簽名信息
惡意模塊簽名信息
當(dāng)流星加速器被下載器靜默推廣安裝之后����,便會(huì)在安裝目錄釋放惡意代理模塊LocalNetwork.exe與后門模塊SecurityGuard.exe��。釋放完成后�,LXInstall.exe將創(chuàng)建C:/Program Files/Microsoft App文件夾并將LocalNetwork.exe移動(dòng)到其中�,隨后啟動(dòng)LocalNetworkFlowService服務(wù)�����。同時(shí)LXInstall.exe會(huì)將SecurityGuard.exe移動(dòng)到C:/Windows目錄下并啟動(dòng)執(zhí)行����。相關(guān)動(dòng)作如下圖所示:
執(zhí)行動(dòng)作信息
LocalNetwork模塊
LocalNetwork.exe會(huì)通過接收C&C服務(wù)器(58.218.92.196)的代理策略�����,執(zhí)行代理邏輯轉(zhuǎn)發(fā)服務(wù)器下發(fā)的數(shù)據(jù)流量�,在未經(jīng)用戶允許的情況下占用用戶的網(wǎng)絡(luò)資源�����,使用戶機(jī)器淪為幫助其牟取利益的工具�����。LocalNetwork.exe作為服務(wù)運(yùn)行之后,首先會(huì)收集用戶主機(jī)系統(tǒng)信息并將其加密發(fā)送至C&C服務(wù)器(yxjs.diaodu.ssot.net)�����。隨后C&C服務(wù)器回傳代理通信服務(wù)器的地址信息,相關(guān)代碼如下圖所示:
獲取主機(jī)相關(guān)信息
獲取到的主機(jī)信息
連接C&C服務(wù)器
獲取到的代理通信服務(wù)器地址
當(dāng)?shù)玫酱硗ㄐ欧?wù)器地址之后�����,LocalNetwork.exe便會(huì)與之連接�����,獲取所需的代理策略�����。之后�,LocalNetwork.exe根據(jù)下放的代理策略訪問目標(biāo)網(wǎng)頁,若訪問成功��,則返回目標(biāo)網(wǎng)頁相關(guān)信息。詳細(xì)的通信流程��,如下圖所示:
通訊流程圖
收到的代理策略及數(shù)據(jù)傳輸內(nèi)容�����,如下圖所示:
收到的代理策略信息
數(shù)據(jù)傳輸圖
此外��,我們還發(fā)現(xiàn)流星加速器主程序(liuxing.exe)會(huì)創(chuàng)建線程每隔2秒就會(huì)檢測(cè)LocalNetwork.exe進(jìn)程是否存在��,如果不存在���,則會(huì)執(zhí)行其軟件安裝目錄下的LocalNetwork.exe。由于當(dāng)前版本的流星加速器所釋放的LocalNetwork.exe惡意代理模塊已經(jīng)不在其軟件安裝目錄中�,上述執(zhí)行邏輯已經(jīng)失效,我們會(huì)對(duì)其主程序模塊的更新進(jìn)行持續(xù)追蹤����。相關(guān)邏輯�,如下圖所示:
相關(guān)代碼
檢測(cè)啟動(dòng)LocalNetwork.exe相關(guān)代碼
SecurityGuard模塊
SecurityGuard.exe模塊的主要功能就是將自身注冊(cè)為服務(wù)并接收C&C服務(wù)器(api.jm.taolop.com)下發(fā)的后門命令控制碼來執(zhí)行不同的后門功能��,如:更新模塊����,創(chuàng)建、刪除服務(wù)�����,運(yùn)行遠(yuǎn)程命令��。相關(guān)代碼如下圖所示:
連接C&C服務(wù)器并接收后門控制碼
執(zhí)行后門功能
二��、 溯源分析
此外�,我們根據(jù)惡意模塊的簽名信息“江蘇靈匠信息科技有限公司”發(fā)現(xiàn)其旗下存在大量與數(shù)據(jù)爬蟲采集�,流量代理加速等有關(guān)產(chǎn)品,相關(guān)信息如下圖所示:
江蘇靈匠信息科技有限公司旗下部分產(chǎn)品
僅以芝麻代理為例����,今日活躍的代理IP數(shù)量為200萬左右與我們?cè)诨鸾q終端威脅情報(bào)系統(tǒng)中所監(jiān)測(cè)到的該病毒感染數(shù)量較為相近,官網(wǎng)頁面如下圖所示:
芝麻代理官網(wǎng)
三��、 附錄
病毒hash
