一、概述
日前,火绒安全团队发现,知名压缩软件"快压"正在传播木马病毒"Trojan/StartPage.ff",该木马病毒会劫持被感染电脑浏览器首页;此外,"快压"还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供"快压"软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用"火绒安全软件"对电脑进行扫描查杀。
UP去试了一下打开快压的官网
这.......?于是UP换了个浏览器,终于打开了,我们看一下他们官方的回应
我想这不是你做以下这么过分事情的理由吧?
图1:"快压"给用户电脑强制推广软件
用户从下载站下载"快压"并安装时,"快压"会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为"WinHome主页卫士"的软件,该软件携带木马病毒"Trojan/StartPage.ff"。病毒入侵电脑后,会劫持用户首页。
快压"自身也存在多种流氓行为,会在用户电脑中弹出广告、创建"淘宝"、"百度"桌面快捷方式。并且"快压"会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。
图2:推广弹窗无关闭按钮
此外,"快压"还会推广"小黑记事本"、"ABC看图"等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然"快压"为上海广乐网络科技有限公司旗下产品,"小黑记事本"、"ABC看图"为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。
"火绒安全软件"无需升级即可查杀木马病毒"Trojan/StartPage.ff",将火绒升级到最新版,即可拦截"快压"上述流氓行为。
二、病毒来源
近日,火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加,随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线,如下图所示:
近半年的感染量
火绒于2016年已查杀此病毒,目前大部分杀毒软件厂商也已查杀此病毒,该病毒在VirusTotal上的查杀情况,如下图所示:
该病毒在VirusTotal上的查杀情况
通过样本溯源分析,我们发现此类病毒属于一款叫"WinHome主页卫士"的小程序,但是我们在互联网上并未找到此程序的官网,只找到其推广页面。如下图所示:
主页卫士推广界面
根据推广页面提示,该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,劫持浏览器首页。该安装包的数字签名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.(上海展盟网络科技有限公司)。其静默安装包属性,如下图所示:
主页卫士静默安装包属性
在分析过程中,我们发现快压压缩软件会推广此病毒程序,如下图所示:
快压推广主页卫士
快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件,并会根据配置文件中BlockedProcessList,和InjectBlockedProcessList判断360安全卫士,金山毒霸,腾讯电脑管家等多款杀毒软件的进程是否运行,以此来选择推广策略,例如,当360Tray.exe和kxetray.exe两个进程同时存在时,则不执行捆绑逻辑,以此来躲避杀毒软件,一般恶意代码才会使用这种判断逻辑。配置文件信息,如下图所示:
捆绑所需配置文件
三、详细分析
1.软件推广
除了捆绑下载锁首病毒之外,我们发现快压压缩软件在程序升级时会推广其他软件,具体推广逻辑如下所示。
快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件,该流氓软件会向云端服务器请求推广软件相关的策略信息,并根据当前用户的计算机环境,执行不同的推广策略,以此获取利益。KuaizipUpdate.exe文件属性,如下图所示:
KuaizipUpdate.exe文件属性
KuaizipUpdate.exe主要逻辑,如下图所示:
KuaizipUpdate.exe执行逻辑
KuaizipUpdate.exe运行时,会向hxxp://i.kpzip.com/n/tui/update_agency/kb.xml请求判断捆绑环境所需的策略文件,解密后的部分策略文件,如下图所示:
解密后策略文件
该策略文件中使用到的标签,如下图所示:
判断标签
KuaizipUpdate.exe会主动判断一些常见的杀毒软件进程,如下图所示:
KuaizipUpdate.exe判断的杀软进程
以如下策略为例,当渠道号为"rytx2_"且存在进程"QQPCRTP.exe"时,就从url对应的地址获取安装包下载路径和运行所需的命令行配置文件。
示例策略
获取的安装包下载路径和运行所需命令行配置文件,解密后,如下图所示:
配置文件
然后KuaizipUpdate.exe会解析配置文件中安装包的下载地址和运行参数,下载并运行安装包。安装包在运行之后会解析其参数,并创建KZTui.exe执行推广逻辑的进程。
拉起KZTui.exe
KZTui.exe在运行后会向hxxp://bundle.kpzip.com/n/kztui/kb/def.txt请求推广软件相关的配置信息。如下图所示:
推广软件配置文件
我们发现,被推广的软件中,有一半是属于上海展盟网络科技有限公司。被推广的软件列表,如下图所示:
被推广的软件列表
KZTui.exe会根据配置文件中对应的Reg字段来判断当前系统是否安装此类软件,并弹窗提示用户安装列表中未安装的三种软件,值得注意的是,此推广弹窗,并无关闭按钮。推广弹窗,如下图所示:
推广弹窗
除了捆绑软件之外,KZTui.exe还会在桌面创建垃圾快捷方式,如下图所示:
创建的桌面快捷方式
2. 广告弹窗
快压程序安装时,会在安装目录的x86目录下释放一个UpdateChecker.exe的流氓软件,文件描述为“快压检查更新程序”,文件属性,如下图所示:
UpdateChecker.exe文件属性
每次启动电脑之后,快压右键菜单拓展程序KuaiZipShell.dll会通过explorer.exe启动UpdateChecker.exe,火绒剑中观察其启动流程,如下图所示:
UpdateChecker.exe启动流程
UpdateChecker启动之后,会检测当前运行环境,并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程,如下图所示:
火绒剑监控UpdateChecker.exe运行流程
UpdateChecker运行之后,会向hxxp://i.kpzip.com/n/updatechecker/urls.xml请求配置文件,该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示:
url.xml解密后内容
之后会去配置文件中对应的地址请求判断条件相关的配置文件,以hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml为例,判断依据主要有是否勾选热点新闻,低版本和过白版本,特殊渠道,杀软坏境,以及时间段等,判断逻辑跟软件推广相关代码逻辑相同,此处不做赘述。解密后部分配置文件,如下图所示:
判断是否弹窗的配置文件
如果当前环境满足判断条件中的一种,就取kun_bang对应的url,该url对应的配置文件中存放要下载的广告程序网址,文件保存路径,以及执行时所需的参数,如下图所示:
下载弹窗程序所需的配置文件
由于配置文件是在云端可控的,该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序,弹窗广告程序文件夹,如下图所示:
随机路径+随机文件名的方式对抗弹窗拦截软件
下载的广告程序属性,如下图所示:
文件属性
小贴士和迷你新闻运行之后会弹广告窗口,如下图所示:
小贴士对应广告弹窗
迷你新闻广告弹窗
四、 同源性分析
经过火绒安全团队分析,上海广乐网络科技有限公司旗下产品快压(速压)和上海展盟网络科技有限公司旗下小黑记事本和ABC看图等软件均携带此类流氓软件。经过查询两家企业的注册信息,我们发现这两家公司的法定代表人是同一人,其注册邮箱也相同。企业注册信息对比,如下图所示:
两家企业的注册信息对比
两家企业旗下产品的部分文件属性,如下图所示:
快压安装包及携带的流氓程序属性
ABC看图安装包及携带的流氓程序属性
小黑记事本安装包及携带的流氓程序属性
快压迷你新闻页弹窗和ABC看图,小黑记事本对比,如下图所示:
迷你新闻弹窗对比
经过我们分析,发现其代码也具有高度相似性,且其运行时创建的互斥量也完全相同,部分代码比较,如下图所示:
代码相似性比较
五、 附录
文中涉及样本SHA256:
喜欢UP的小伙伴可以帮忙转发起来,让更多人知道这事吗?
另外记得给UP一个三连支持一下!