欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

知名压缩软件“快压”传播病毒和多款流氓软件

来源:本站整理 作者:火绒安全 时间:2018-07-17 TAG: 我要投稿

一、概述
日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用“火绒安全软件”对电脑进行扫描查杀。

“快压”给用户电脑强制推广软件
用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.ff”。病毒入侵电脑后,会劫持用户首页。
“快压”自身也存在多种流氓行为,会在用户电脑中弹出广告、创建“淘宝”、“百度”桌面快捷方式。并且“快压”会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。

推广弹窗无关闭按钮
此外,“快压”还会推广“小黑记事本”、“ABC看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然“快压”为上海广乐网络科技有限公司旗下产品,“小黑记事本”、“ABC看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。

“火绒安全软件”无需升级即可查杀木马病毒“Trojan/StartPage.ff”,将火绒升级到最新版,即可拦截“快压”上述流氓行为。
二、病毒来源
近日,火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加,随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线,如下图所示:

近半年的感染量
火绒于2016年已查杀此病毒,目前大部分杀毒软件厂商也已查杀此病毒,该病毒在VirusTotal上的查杀情况,如下图所示:

该病毒在VirusTotal上的查杀情况
通过样本溯源分析,我们发现此类病毒属于一款叫“WinHome主页卫士”的小程序,但是我们在互联网上并未找到此程序的官网,只找到其推广页面。如下图所示:

主页卫士推广界面
根据推广页面提示,该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,劫持浏览器首页。该安装包的数字签名是SHANGHAIZHANMENG NETWORK TECHNOLOGY CO.,LTD.(上海展盟网络科技有限公司)。其静默安装包属性,如下图所示:

主页卫士静默安装包属性
在分析过程中,我们发现快压压缩软件会推广此病毒程序,如下图所示:

快压推广主页卫士
快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件,并会根据配置文件中BlockedProcessList,和InjectBlockedProcessList判断360安全卫士,金山毒霸,腾讯电脑管家等多款杀毒软件的进程是否运行,以此来选择推广策略,例如,当360Tray.exe和kxetray.exe两个进程同时存在时,则不执行捆绑逻辑,以此来躲避杀毒软件,一般恶意代码才会使用这种判断逻辑。配置文件信息,如下图所示:

捆绑所需配置文件
三、详细分析
1.软件推广
除了捆绑下载锁首病毒之外,我们发现快压压缩软件在程序升级时会推广其他软件,具体推广逻辑如下所示。
快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件,该流氓软件会向云端服务器请求推广软件相关的策略信息,并根据当前用户的计算机环境,执行不同的推广策略,以此获取利益。KuaizipUpdate.exe文件属性,如下图所示:

KuaizipUpdate.exe文件属性
KuaizipUpdate.exe主要逻辑,如下图所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载