一、 概述
近日,火絨安全團(tuán)隊(duì)發(fā)現(xiàn),用戶在知名下載站”系統(tǒng)之家”下載安裝”小馬激活”及”OFFICE2016″兩款激活工具時(shí),會(huì)被植入病毒”Justler”,該病毒會(huì)劫持用戶瀏覽器首頁(yè)。病毒”Justler”作者極為謹(jǐn)慎,會(huì)刻意避開(kāi)北京、廈門(mén)、深圳、泉州四個(gè)網(wǎng)絡(luò)安全監(jiān)察嚴(yán)格的地區(qū)的IP。除這幾個(gè)地區(qū)以外的用戶,下載到的軟件均可能帶毒。據(jù)”火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估,截至目前,該病毒感染量已近60萬(wàn)。
病毒”Justler”通過(guò)知名下載站”系統(tǒng)之家”(xitongzhijia.net)傳播。當(dāng)用戶試圖下載”小馬激活”及”OFFICE2016″兩款激活工具時(shí),”系統(tǒng)之家”會(huì)識(shí)別訪問(wèn)IP,當(dāng)用戶IP地址不屬于北京、廈門(mén)、深圳、泉州四個(gè)地區(qū)時(shí),則會(huì)跳轉(zhuǎn)到被植入病毒代碼的軟件下載鏈接。
另外根據(jù)跳轉(zhuǎn)鏈接域名,我們進(jìn)一步發(fā)現(xiàn)了一個(gè)站點(diǎn)名同為”系統(tǒng)之家”(win.100ea.com)的網(wǎng)站。而該網(wǎng)站中提供的系統(tǒng)盤(pán)也同樣攜帶病毒”Justler”。
一旦運(yùn)行”小馬激活工具”、”OFFICE 2016激活工具”安裝包,病毒”Justler”也隨之被激活。之后,該病毒將篡改被感染電腦的瀏覽器首頁(yè),劫持流量。
火絨安全團(tuán)隊(duì)發(fā)現(xiàn),利用激活工具和系統(tǒng)盤(pán)進(jìn)行傳播病毒和流氓軟件的現(xiàn)象有逐漸增多趨勢(shì)。由于激活工具通常是裝機(jī)后首先安裝的軟件,因此此類(lèi)病毒和流氓軟件利用介入時(shí)機(jī)更早的優(yōu)勢(shì)與安全軟件進(jìn)行對(duì)抗。
“火絨安全軟件”最新版可攔截并查殺病毒”Justler”。對(duì)于已經(jīng)感染該病毒的非火絨用戶,可以下載使用”火絨專(zhuān)殺工具”徹底查殺該病毒。
二、 樣本分析
本次火絨所截獲的病毒樣本將自己偽裝成了小馬激活工具,在運(yùn)行原版小馬激活工具的同時(shí),還會(huì)釋放加載惡意驅(qū)動(dòng)進(jìn)行流量劫持。樣本來(lái)源為名叫 “系統(tǒng)之家”的軟件站(www.xitongzhijia.net),該站點(diǎn)在百度搜索”系統(tǒng)之家”后的搜索結(jié)果排名中居于首位,且被標(biāo)注有”官網(wǎng)”標(biāo)志。百度搜索”系統(tǒng)之家”后的搜索結(jié)果,如下圖所示:
百度搜索結(jié)果
該站點(diǎn)主頁(yè)頁(yè)面,如下圖所示:
站點(diǎn)頁(yè)面
病毒將自己偽裝成小馬激活工具,病毒在運(yùn)行首先會(huì)釋放運(yùn)行原始的小馬激活工具,之后會(huì)釋放加載病毒驅(qū)動(dòng)進(jìn)行流量劫持。病毒的下載頁(yè)面(hxxp://www.xitongzhijia.net/soft/28841.html)會(huì)根據(jù)訪問(wèn)者IP的不同而變化,例如當(dāng)訪問(wèn)用戶的IP對(duì)應(yīng)區(qū)域?yàn)楸本⿻r(shí),下載地址鏈接,如下圖紅框所示:
病毒下載頁(yè)面(北京IP訪問(wèn))
但在我們使用HTTP代理訪問(wèn)后,下載地址鏈接出現(xiàn)了變化,變?yōu)榱税俣仍票P(pán)下載。通過(guò)一段時(shí)間的測(cè)試我們發(fā)現(xiàn),在使用HTTP代理的情況下,下載頁(yè)面并不是每次都會(huì)顯示百度云盤(pán)下載鏈接,病毒作者可能利用這種方式對(duì)抗安全廠商的樣本收集。下載頁(yè)面,如下圖所示:
病毒下載頁(yè)面(HTTP代理訪問(wèn))
點(diǎn)擊上圖中的”百度云盤(pán)下載”鏈接后,頁(yè)面會(huì)跳轉(zhuǎn)至hxxp://go.100ea.com/oem9/down.html。該頁(yè)面中包含的JavaScrIPt腳本可以根據(jù)用戶的當(dāng)前IP地址所屬地域,跳轉(zhuǎn)至不同的百度云盤(pán)地址。如果通過(guò)IP地域查詢,獲取到當(dāng)前所屬城市為北京、廈門(mén)、深圳或泉州,則會(huì)跳轉(zhuǎn)到無(wú)毒版本小馬激活工具的百度云盤(pán)下載頁(yè)面;如果當(dāng)前所屬地為其他城市,則會(huì)跳轉(zhuǎn)到帶毒小馬激活工具的下載地址。腳本內(nèi)容,如下圖所示:
跳轉(zhuǎn)腳本內(nèi)容
帶毒小馬激活樣本由三層釋放器構(gòu)成,病毒整體結(jié)構(gòu)如下圖所示:
病毒整體結(jié)構(gòu)
三層釋放器中都帶有檢測(cè)安全軟件的代碼邏輯,如果檢測(cè)到安全軟件則會(huì)彈出提示”為了順利激活系統(tǒng),請(qǐng)先退出殺毒軟件”,最后退出執(zhí)行。提示彈窗,如下圖所示:
提示彈窗
相關(guān)代碼,如下圖所示:
| 
