灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂

近期,火绒威胁情报系统监测到病毒团伙利用广告平台暗刷流量,伪装成正常软件的后门程序如'眼睛的守护神'捆绑安装在用户电脑上,静默推广病毒并暗刷流量,影响用户浏览器安全。这些病毒通过知名软件如万能压缩等传播,已导致数十万用户受害。火绒提醒用户加强防范。
摘要由CSDN通过智能技术生成

咳咳 嗯 有段时间的 最近吗 都放暑假了 没有什么好更新的 最近我们都在关心2020微软的更新问题 对我们的这类人还是有些要求的
我也不想到时候大家再跌跟头 吃亏什么的 今天就讲解一下吧 声明:我暑假是有别的事在做 很少更新 大家可以去我微信或者论坛留言
我会挑一些来回答

【快讯】劫持浏览器、刷取流量等行为是流氓软件常见行为,而随着安全厂商持续打击、普通用户的安全意识提升,让病毒团伙、流氓软件厂商的获利空间被逐渐压缩。近期,“火绒威胁情报系统”监测到,病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。

根据“火绒威胁情报系统”监测发现,万能压缩、万能看图、Clover等多款软件正在静默推广后门程序“眼睛的守护神”,截至到目前,已有几十万用户被捆绑安装该后门程序。该后门程序被捆绑安装至用户电脑后,会通过远程服务器下载病毒 ,并静默推广鲁大师手机模拟大师等其它多款软件。通过查验签名得知,“眼睛守护神”的数字签名与其下发的病毒签名相同,或系同一家病毒软件厂商所为。
在这里插入图片描述

用户下载上述软件后,该后门程序即会进入电脑并暗自安装,安装过程中不会出现任何提示,且安装完成后也不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。

安装完毕后,后门程序会通过远程服务器在后台悄悄下载病毒到本地执行。病毒可以劫持用户浏览器首页、暗刷流量,甚至会令安全软件部分防御功能失效。该病毒更加流氓之处在于,将用来刷取流量的页面广告内容全部设置为不可见,病毒在暗刷流量时用户完全无法察觉。此外,该后门程序还会静默推广鲁大师手机模拟大师等其它多款软件。

值得注意的是,万能压缩等系列软件下载量较大,其推广行为也较为疯狂(2018年双十一期间,火绒就这些软件的流氓推广进行跟踪分析,详情见报告《"双十一"成流氓软件爆发高峰 日均侵权推广1.7亿次》),目前已经造成病毒在短时间内大量传播的影响和危害。火绒工程师提醒广大用户小心防范,如果下载过上述软件,请尽快使用安全软件进行排查。
在这里插入图片描述
火绒用户使用“火绒安全软件”(个人版4.0与5.0公测版、企业版)最新版即可查杀上述病毒。

附【详细报告】:

一、病毒分析
近期火绒发现一款名为眼睛守护神的软件正在广泛传播,该软件实为伪装成正常软件的后门程序。该后门程序会通过C&C服务器配置下载执行的病毒会进行首页劫持、暗刷流量,甚至会使安全软件部分防御功能失效(通过移除正常软件内核回调的方式),除下载执行病毒文件外,该后门程序还会静默推广包括鲁大师手机模拟大师在内的多款软件。通过溯源分析,我们发现该后门程序会通过万能压缩、万能看图、Clover等多款软件以静默推广的方式进行传播。传播流程,如下图所示:

传播流程图

后门程序安装程序与我们截获的其中一个病毒驱动文件均带有“南京星洪科技有限公司”有效数字签名。文件信息,如下图所示:

在这里插入图片描述
文件信息

数字签名信息,如下图所示:
在这里插入图片描述
数字签名

眼睛守护神
眼睛守护神安装程序为7z自解压包,安装过程中不会出现任何安装提示,且安装完成后不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。眼睛守护神传播病毒流程,如下图所示:
在这里插入图片描述
眼睛守护神传播病毒流程

上图中调用关系中,EPSvcControl虽然被EPTool调用后执行后续病毒传播逻辑,但是EPTool中也存在相同的云控代码,可以独立下载执行其他文件甚至病毒。EPTool调用EPSvcControl模块,如下图所示
在这里插入图片描述
调用EPSvcControl.exe模块

EPSvcControl模块被调用后,会从C&C服务器地址hxxp://biz.chlbiz.com/files/eyepatron/conf/remaintask.dat下载配置文件。相关代码,如下图所示:
在这里插入图片描述
下载remaintask.dat文件

下载到文件内容后,通过 BASE64+AES解密(密钥为“xcN2gedfty2iCjkL”)后,得到json格式的推广配置文件。相关代码,如下图所示:
在这里插入图片描述
解密文件

解密之后的推广配置文件中包含有推广触发条件,主要包含排除的城市名、触发概率、检测的安全软件进程名和推广程序下载地址。经过我们一段时间的跟踪,被下载执行的病毒文件在今年7月之前为acm.exe(释放驱动劫持首页、暗刷流量),在7月份之后被下载执行的病毒文件为InstExe_???.exe(流量暗刷,下文中称其为InstExe),且至今该病毒依然在进行更新。病毒传播时间线,如下图所示:
在这里插入图片描述
病毒传播时间线

下载执行InstExe病毒文件的相关配置内容,如下图所示:

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值