一、 概述
近日,火絨安全團(tuán)隊(duì)發(fā)現(xiàn),用戶在知名下載站”系統(tǒng)之家”下載安裝”小馬激活”及”OFFICE2016″兩款激活工具時(shí),會(huì)被植入病毒”Justler”,該病毒會(huì)劫持用戶瀏覽器首頁。病毒”Justler”作者極為謹(jǐn)慎,會(huì)刻意避開北京、廈門、深圳、泉州四個(gè)網(wǎng)絡(luò)安全監(jiān)察嚴(yán)格的地區(qū)的IP。除這幾個(gè)地區(qū)以外的用戶,下載到的軟件均可能帶毒。據(jù)”火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估,截至目前,該病毒感染量已近60萬。
病毒”Justler”通過知名下載站”系統(tǒng)之家”(xitongzhijia.net)傳播。當(dāng)用戶試圖下載”小馬激活”及”OFFICE2016″兩款激活工具時(shí),”系統(tǒng)之家”會(huì)識(shí)別訪問IP,當(dāng)用戶IP地址不屬于北京、廈門、深圳、泉州四個(gè)地區(qū)時(shí),則會(huì)跳轉(zhuǎn)到被植入病毒代碼的軟件下載鏈接。
另外根據(jù)跳轉(zhuǎn)鏈接域名,我們進(jìn)一步發(fā)現(xiàn)了一個(gè)站點(diǎn)名同為”系統(tǒng)之家”(win.100ea.com)的網(wǎng)站。而該網(wǎng)站中提供的系統(tǒng)盤也同樣攜帶病毒”Justler”。
一旦運(yùn)行”小馬激活工具”、”OFFICE 2016激活工具”安裝包,病毒”Justler”也隨之被激活。之后,該病毒將篡改被感染電腦的瀏覽器首頁,劫持流量。
火絨安全團(tuán)隊(duì)發(fā)現(xiàn),利用激活工具和系統(tǒng)盤進(jìn)行傳播病毒和流氓軟件的現(xiàn)象有逐漸增多趨勢(shì)。由于激活工具通常是裝機(jī)后首先安裝的軟件,因此此類病毒和流氓軟件利用介入時(shí)機(jī)更早的優(yōu)勢(shì)與安全軟件進(jìn)行對(duì)抗。
“火絨安全軟件”最新版可攔截并查殺病毒”Justler”。對(duì)于已經(jīng)感染該病毒的非火絨用戶,可以下載使用”火絨專殺工具”徹底查殺該病毒。
二、 樣本分析
本次火絨所截獲的病毒樣本將自己偽裝成了小馬激活工具,在運(yùn)行原版小馬激活工具的同時(shí),還會(huì)釋放加載惡意驅(qū)動(dòng)進(jìn)行流量劫持。樣本來源為名叫 “系統(tǒng)之家”的軟件站(www.xitongzhijia.net),該站點(diǎn)在百度搜索”系統(tǒng)之家”后的搜索結(jié)果排名中居于首位,且被標(biāo)注有”官網(wǎng)”標(biāo)志。百度搜索”系統(tǒng)之家”后的搜索結(jié)果,如下圖所示:
百度搜索結(jié)果
該站點(diǎn)主頁頁面,如下圖所示:
站點(diǎn)頁面
病毒將自己偽裝成小馬激活工具,病毒在運(yùn)行首先會(huì)釋放運(yùn)行原始的小馬激活工具,之后會(huì)釋放加載病毒驅(qū)動(dòng)進(jìn)行流量劫持。病毒的下載頁面(hxxp://www.xitongzhijia.net/soft/28841.html)會(huì)根據(jù)訪問者IP的不同而變化,例如當(dāng)訪問用戶的IP對(duì)應(yīng)區(qū)域?yàn)楸本⿻r(shí),下載地址鏈接,如下圖紅框所示:
病毒下載頁面(北京IP訪問)
但在我們使用HTTP代理訪問后,下載地址鏈接出現(xiàn)了變化,變?yōu)榱税俣仍票P下載。通過一段時(shí)間的測(cè)試我們發(fā)現(xiàn),在使用HTTP代理的情況下,下載頁面并不是每次都會(huì)顯示百度云盤下載鏈接,病毒作者可能利用這種方式對(duì)抗安全廠商的樣本收集。下載頁面,如下圖所示:
病毒下載頁面(HTTP代理訪問)
點(diǎn)擊上圖中的”百度云盤下載”鏈接后,頁面會(huì)跳轉(zhuǎn)至hxxp://go.100ea.com/oem9/down.html。該頁面中包含的JavaScrIPt腳本可以根據(jù)用戶的當(dāng)前IP地址所屬地域,跳轉(zhuǎn)至不同的百度云盤地址。如果通過IP地域查詢,獲取到當(dāng)前所屬城市為北京、廈門、深圳或泉州,則會(huì)跳轉(zhuǎn)到無毒版本小馬激活工具的百度云盤下載頁面;如果當(dāng)前所屬地為其他城市,則會(huì)跳轉(zhuǎn)到帶毒小馬激活工具的下載地址。腳本內(nèi)容,如下圖所示:
跳轉(zhuǎn)腳本內(nèi)容
帶毒小馬激活樣本由三層釋放器構(gòu)成,病毒整體結(jié)構(gòu)如下圖所示:
病毒整體結(jié)構(gòu)
三層釋放器中都帶有檢測(cè)安全軟件的代碼邏輯,如果檢測(cè)到安全軟件則會(huì)彈出提示”為了順利激活系統(tǒng),請(qǐng)先退出殺毒軟件”,最后退出執(zhí)行。提示彈窗,如下圖所示:
提示彈窗
相關(guān)代碼,如下圖所示:
| 
