从流氓推广到公然投毒 流氓软件完成黑化

【快讯】近日，火绒安全团队溯源到一批名为快捷锁屏、极速搜索等流氓软件携带有恶意程序，正通过下载器渠道进行大范围传播。虽然这些软件带有较为简单的正常功能，但其主要目的就是通过暗刷指定网站的关键字搜索排名、劫持流量等恶意行为获取利益，行为几乎与病毒无异。据“火绒威胁情报系统”监测和评估，目前，该恶意程序日均感染数十万台电脑。

火绒用户无需担心，火绒安全软件最新版已对该恶意程序进行拦截查杀；您也可以开启火绒的“下载器拦截”功能，以规避其它安全风险。

根据火绒工程师分析，上述软件运行后，在开始菜单、桌面等位置均没有创建相关的快捷方式，导致用户难以发现软件的存在，并且会在后台暗刷指定网站的关键字搜索排名、浏览器插件静默推广、劫持流量，从而利用用户电脑谋取利益。另外，该恶意程序还包含有后门模块，因此不排除其随时通过云控下发其它病毒模块到用户本地执行的可能性。

流氓推广的灰色行为早已成为软件行业屡见不鲜的现象，然而更加过分的是，甚至有流氓软件已完全病毒化，他们为了攫取更多的利益，直接向用户投放各类病毒，这种明目张胆的侵犯用户权益的恶意行为和盈利模式，标志着广告推广的“流量生意”已经完全成为黑产。最后，火绒除了及时拦截和查杀外，还会持续关注和曝光此类病毒软件及其行为，帮助用户避免陷入风险。

附：【分析报告】

一、详细分析

近期，火绒发现一批恶意程序正在通过下载器渠道进行大范围传播，此类恶意程序通常将自身伪装成带有“简单”功能“的正常软件”（如：快捷锁屏、极速搜索）。在恶意程序被植入后，在开始菜单、桌面等位置均没有创建相关的启动快捷方式，导致用户难以发现该软件的存在。该恶意程序会主动规避大型省会城市（如：北京、上海、深圳、珠海、广州等）、安全软件（如：火绒、360、腾讯电脑管家等）和安全分析工具。一旦进入用户电脑，就会通过暗刷指定网站的关键字搜索排名、静默推广流氓浏览器插件等方式，不断利用用户电脑牟取利益，使用户电脑沦为帮助黑客牟利的“肉鸡”。相关恶意程序运行流程，如下图所示：

恶意模块执行流程

我们以快捷锁屏为例进行分析，快捷锁屏被推广时会在命令行中传入静默安装参数-p。快捷锁屏被下载器静默推广相关配置，如下图所示：

快捷锁屏被下载器推广相关配置

首先，快捷锁屏主程序ScreenSaver.exe会将广告程序拷贝到%AppData%SSLocal目录下逐个执行。SSLocal目录下的广告程序，如下图所示：

SSLocal目录下的广告程序

之后，向远程服务器请求云控配置hxxp://screen.ddLives.com/screen/lock.ini，根据云控配置内容下载执行恶意程序blueberry.exe(使用IE内核)和TsvmService.exe(使用Chrome内核)，暗刷指定网站的关键字搜索排名。相关云控配置，如下图所示：

相关云控配置

根据云控配置，恶意代码会主动规避一些大型省会城市和一些安全相关的软件及工具，其目的主要为躲避安全软件查杀和躲避安全分析人员对其进行逆向分析。被规避的软件进程名，如下图所示：

被规避的软件进程名

相关代码，如下图所示：

执行后台暗刷恶意程序相关代码

在进行后台暗刷时，screensaver会根据云控配置中newold_sw字段的值调用blueberry.exe(newold_sw=0)或TsvmService.exe(newold_sw=1)进行后台暗刷，文中我们仅以blueberry.exe为例。相关调用代码，如下图所示：

调用后台暗刷恶意推广相关逻辑

当newold_sw=1时，则会下载执行TsvmService.exe进行后台暗刷。TsvmService.exe程序分为三个部分，每部分单独被压缩在一个7z压缩包中，在恶意代码解压相关组件模块后，会对可执行程序进行异或解密。相关代码，如下图所示：

执行TsvmService.exe相关代码

除此之外，恶意程序还会通过云控配置下载执行其它恶意程序（如：sbbat_scre.exe）。sbbat_scre.exe执行后会静默安装流氓浏览器插件，详细分析见下文。相关代码，如下图所示：

释放广告程序及下载执行其它恶意模块相关代码

BlueBerry模块

该模块会根据云控配置，创建一个隐藏窗口暗刷指定网站的关键字搜索排名。相关现象，如下图所示：

隐藏窗口刷取搜索关键字

该模块会向云端（hxxp://plum.70gj.cn/plumzhang?sc=）请求配置文件，且每次请求到的云控配置都不相同。配置中不仅包括了要刷取的搜索关键字，页面操作等信息，还包括规避的城市、杀软和分析环境信息。相关配置，如下图所示：

刷取搜索的配置文件

相关代码，如下图所示：

检测杀软、分析环境和地区

sbbat_scre模块

sbbat_scre.exe模块首先会检测系统中是否存在火绒、360、金山毒霸和腾讯电脑管家相关进程，然后从自身资源中解密出浏览器插件并复制到对应浏览器插件目录下。受影响的安全软件及浏览器信息如下图所示：

受影响的安全软件信息

受影响的浏览器

检测电脑杀软信息相关代码如下图所示：

检测电脑杀软信息

当电脑中存在360安全浏览器时，恶意模块会将名为“领券吧”的浏览器插件从资源中解密出来并复制到360安全浏览器的插件目录下并结束相关进程。相关代码如下图所示：

释放插件到360安全浏览器目录下

当电脑中存在QQ浏览器、搜狗浏览器、2345浏览器、UC浏览器时，恶意模块会将名为“护眼模式”的浏览器插件从资源中解密出来并复制到上述浏览器的插件目录下并结束相关进程。相关代码如下图所示：

释放插件到其它浏览器目录下

下面以360安全浏览器及QQ浏览器为例，被此恶意模块加载插件后的现象如下图所示：

相关浏览器被恶意加载插件

以上两个浏览器插件的功能均为推广优惠券获利，除此以外，还在sbbat_scre.exe资源中发现另外一款名为“时钟提醒”的恶意浏览器插件。该插件会劫持搜索推广计费名，并可以通过云端配置文件对其它链接进行劫持。相关现象，如下图所示：

劫持推广计费名

部分云端配置，如下图所示：

部分云端配置

相关代码，如下图所示：

请求并解密劫持配置

根据劫持配置获得劫持链接

劫持推广计费号

二、附录

样本hash