吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 62350|回复: 818
收起左侧

[PC样本分析] “流星加速器”恶意投毒控制用户电脑 恐用于商业牟利

    [复制链接]
火绒安全实验室 发表于 2020-8-14 19:57
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2020-8-17 13:28 编辑

注:如果下载的是官网版本,扫描无病毒是正常的。官网版本暂时未发现上述病毒,不过官网版本虽然暂时未发现上述病毒,但是官网版本和病毒签名一致,并且具有调用病毒模块的代码逻辑,详细分析见下文。
【快讯】
根据“火绒威胁情报系统”监测,火绒安全团队发现一款名为“流星加速器”的软件,正通过各大下载站下载器进行静默推广传播,且携带恶意代{过}{滤}理模块和后门模块。用户运行该软件后,就会激活这些病毒模块。病毒可以控制用户电脑,执行任意命令。

由于“流星加速器”用户数量较多,致使病毒影响的范围较大,目前已感染上百万用户,且感染量还在以单日超过10万的数量增长,请广大用户小心防范。火绒安全软件最新版可及时拦截、查杀上述病毒模块,且不会损坏软件的正常功能,请用户放心使用。

Image-4.png
根据火绒工程师分析,“流星加速器”运行后会释放两个病毒模块,其中一个具备恶意代{过}{滤}理功能,可控制用户电脑作为流量跳板;另一个模块具备后门功能,可执行任意远程指令,危害严重。此外,当用户卸载“流星加速器”后,上述病毒模块会依旧驻留用户电脑中,继续作恶。

通过进一步溯源调查,火绒工程师发现“流星加速器”所属公司旗下存在大量与数据爬虫采集、流量代{过}{滤}理加速等相关产品。据此,不排除该企业利用上述病毒,控制用户电脑并投入商业使用,从而获得盈利的可能。
附:【分析报告】

一、        详细分析
最近我们发现一组具有恶意代{过}{滤}理功能(LocalNetwork.exe)及后门功能(SecurityGuard.exe)的程序模块。经溯源发现,这两个恶意模块均由流星加速器安装包所释放、运行,且当流星加速器被卸载之后,上述恶意模块仍然残留在用户电脑中。带有恶意模块的流星加速器安装包是由下载器所静默推广,此次涉及到的下载站有中关村在线(zol.com.cn)等。相关信息如下图所示:

Image-5.png
下载器推广截图

Image-6.png
软件安装包数字签名信息

Image-7.png
恶意模块签名信息

当流星加速器被下载器静默推广安装之后,便会在安装目录释放恶意代{过}{滤}理模块LocalNetwork.exe与后门模块SecurityGuard.exe。释放完成后,LXInstall.exe将创建C:\Program Files\Microsoft App文件夹并将LocalNetwork.exe移动到其中,随后启动LocalNetworkFlowService服务。同时LXInstall.exe会将SecurityGuard.exe移动到C:\Windows目录下并启动执行。相关动作如下图所示:

Image-8.png
执行动作信息

LocalNetwork模块
LocalNetwork.exe会通过接收C&C服务器(58.218.92.196)的代{过}{滤}理策略,执行代{过}{滤}理逻辑转发服务器下发的数据流量,在未经用户允许的情况下占用用户的网络资源,使用户机器沦为帮助其牟取利益的工具。LocalNetwork.exe作为服务运行之后,首先会收集用户主机系统信息并将其加密发送至C&C服务器(yxjs.diaodu.ssot.net)。随后C&C服务器回传代{过}{滤}理通信服务器的地址信息,相关代码如下图所示:

Image-9.png
获取主机相关信息

Image-10.png
获取到的主机信息

Image-11.png
连接C&C服务器

Image-12.png
获取到的代{过}{滤}理通信服务器地址

当得到代{过}{滤}理通信服务器地址之后,LocalNetwork.exe便会与之连接,获取所需的代{过}{滤}理策略。之后,LocalNetwork.exe根据下放的代{过}{滤}理策略访问目标网页,若访问成功,则返回目标网页相关信息。详细的通信流程,如下图所示:

Image-13.png
通讯流程图

收到的代{过}{滤}理策略及数据传输内容,如下图所示:

Image-14.png
收到的代{过}{滤}理策略信息

Image-15.png
数据传输图

此外,我们还发现流星加速器主程序(liuxing.exe)会创建线程每隔2秒就会检测LocalNetwork.exe进程是否存在,如果不存在,则会执行其软件安装目录下的LocalNetwork.exe。由于当前版本的流星加速器所释放的LocalNetwork.exe恶意代{过}{滤}理模块已经不在其软件安装目录中,上述执行逻辑已经失效,我们会对其主程序模块的更新进行持续追踪。相关逻辑,如下图所示:

Image-16.png
相关代码

Image-17.png
检测启动LocalNetwork.exe相关代码

SecurityGuard模块
SecurityGuard.exe模块的主要功能就是将自身注册为服务并接收C&C服务器(api.jm.taolop.com)下发的后门命令控制码来执行不同的后门功能,如:更新模块,创建、删除服务,运行远程命令。相关代码如下图所示:

Image-18.png
连接C&C服务器并接收后门控制码

Image-19.png
执行后门功能

二、        溯源分析
此外,我们根据恶意模块的签名信息“江苏灵匠信息科技有限公司”发现其旗下存在大量与数据爬虫采集,流量代{过}{滤}理加速等有关产品,相关信息如下图所示:

Image-20.png
江苏灵匠信息科技有限公司旗下部分产品

仅以芝麻代{过}{滤}理为例,今日活跃的代{过}{滤}理IP数量为200万左右与我们在火绒终端威胁情报系统中所监测到的该病毒感染数量较为相近,官网页面如下图所示:

Image-21.png
芝麻代{过}{滤}理官网

三、        附录
病毒hash

Image-22.png

免费评分

参与人数 505吾爱币 +449 热心值 +469 收起 理由
小蘑菇他哥 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
UNKNNOW + 1 我很赞同!
轩宇XUANYU + 1 我很赞同!
Lilcat + 1 + 1 用心讨论,共获提升!
tianyi_chame + 1 + 1 我很赞同!
皮卡皮卡丘~ + 1 我很赞同!
/sakura/ + 1 + 1 用心讨论,共获提升!
金钱一层 + 1 + 1 我很赞同!
小叮当同学 + 1 + 1 我很赞同!
02桑葚 + 1 我很赞同!
Audiiiiiii + 1 谢谢@Thanks!
fei8255 + 1 + 1 谢谢@Thanks!
Das-Fernweh + 1 + 1 我很赞同!
钧淮 + 1 + 1 谢谢@Thanks!
此处寻仙 + 1 我很赞同!
jifengm + 1 + 1 我很赞同!
mcontext + 1 + 1 谢谢@Thanks!
岁月流年 + 1 + 1 我很赞同!
鬼刀一开 + 1 + 1 热心回复!
丶蜥蜴君 + 1 + 1 谢谢@Thanks!
82123910 + 1 + 1 我很赞同!
cYnan + 1 + 1 我很赞同!
hxy92499 + 1 谢谢@Thanks!
无殇妄 + 1 + 1 我很赞同!
MoHenMoe + 1 + 1 谢谢@Thanks!
Fortunate° + 1 + 1 谢谢@Thanks!
萝莉兔女郎 + 1 + 1 我很赞同!
netCheney + 1 + 1 热心回复!
lxq951 + 1 + 1 我很赞同!
佳期若梦 + 1 + 1 我很赞同!
yulin456 + 1 + 1 火绒nb
2569138941 + 1 我很赞同!
血卫 + 1 + 1 我很赞同!
903917731 + 1 + 1 我很赞同!
hunterwei + 1 + 1 我很赞同!
LeIsFc + 1 + 1 鼓励转贴优秀软件安全工具和文档!
zhangxiaodong + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a970826 + 1 我很赞同!
zuiaixyy + 1 + 1 谢谢@Thanks!
聆听心跳 + 1 + 1 火绒NB
CharlieMars + 1 + 1 鼓励转贴优秀软件安全工具和文档!
你让我没有爱 + 1 我很赞同!
hurri + 1 + 1 我很赞同!
很默契啊 + 1 + 1 谢谢@Thanks!
fengbolee + 1 + 1 谢谢@Thanks!
wanjuny + 1 热心回复!
977dunkkkkk + 1 + 1 热心回复!
慕容秀儿丶 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
flybaby + 1 + 1 我很赞同!
cyanxxx + 1 + 1 谢谢@Thanks!
20200214 + 1 + 1 谢谢@Thanks!
17315044449 + 1 + 1 火绒NB
梦然流韵 + 1 + 1 用心讨论,共获提升!
chenchen_82482 + 1 谢谢@Thanks!
帅气的小莲 + 1 + 1 谢谢@Thanks!
9324 + 1 + 1 热心回复!
又是我 + 1 + 1 谢谢@Thanks!
rover_fighter + 1 谢谢@Thanks!
英语负四级 + 1 + 1 我很赞同!
吃鸡不好玩 + 1 + 1 热心回复!
yangwangbeiji + 1 + 1 谢谢@Thanks!
NapoleonH + 1 我很赞同!
Adufun + 1 + 1 谢谢@Thanks!
落花时节又逢君 + 1 + 1 害怕
she3640 + 1 + 1 热心回复!
萌十七 + 1 + 1 我很赞同!
如若_初见 + 1 + 1 我很赞同!
66431898 + 1 + 1 热心回复!
无奈123 + 1 + 1 用心讨论,共获提升!
TYFLWAPJ + 1 + 1 我很赞同!
1390794904 + 1 + 1 感谢楼主
清泪_ + 1 我很赞同!
黄金神威 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Geek233 + 1 + 1 用心讨论,共获提升!
kai.wu + 1 + 1 我很赞同!
十二同学 + 1 + 1 用心讨论,共获提升!
YWM2017 + 1 + 1 用心讨论,共获提升!
Asasdon + 1 + 1 热心回复!
qazwsxh + 1 我很赞同!
passtoworld + 1 + 1 谢谢@Thanks!
唯一11044 + 1 + 1 我很赞同!
Mamama + 2 + 1 我很赞同!
牵绊zZ + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yuqin + 1 + 1 我很赞同!
虚心求教Irb + 1 + 1 谢谢@Thanks!
nishizhudidi + 1 + 1 火绒还是厉害 哈哈哈
w2rt4 + 1 + 1 谢谢@Thanks!
Desugl + 1 + 1 我很赞同!
hhyks123 + 1 我很赞同!
Migoal98 + 1 + 1 我很赞同!
snowlight + 1 + 1 谢谢@Thanks!
littleprince + 1 + 1 我很赞同!
Tozero + 1 + 1 谢谢@Thanks!
lfff + 1 + 1 用心讨论,共获提升!
townx + 1 我很赞同!
风少666666 + 1 + 1 谢谢@Thanks!
pangxie1991 + 1 我很赞同!
aiy1925 + 1 + 1 我很赞同!
monkey1024 + 1 + 1 我很赞同!
hmx540211269 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

614125699 发表于 2020-8-14 20:58
火绒厉害啊,流星加速器的病毒没有扫出来,倒是把我的麦克菲判为勒索病毒
QQ截图20200814205547.png

免费评分

参与人数 9吾爱币 -5 热心值 +2 收起 理由
szq分享家 -1 此为违规行为,请遵守论坛版规!
lurenyi2123 + 1 群号能不能给一下
netCheney -2 这波操作满分
Yyj2020 -2 此为违规行为,请遵守论坛版规!
天云草丶少主 -1 怎么?开始洗地了?
影子丶病毒 + 1 哟 你来了 居然还有这么多人支持 真当吾爱没人吗
信易达 + 1 我知道你是芝麻代{过}{滤}理的人,不要在这里黑了,再黑火绒直接提交给网信.
tzf1003 + 1 360天下第一
zdnyp -1 颁发金键盘奖

查看全部评分

 楼主| 火绒安全实验室 发表于 2020-8-17 13:13
chinabilibili 发表于 2020-8-14 21:13
请问我这两个月一直在用流星加速器,但是根据你给的路径并没有发现LocalNetwork.exe和SecurityGuard.exe, ...

这个情况应该是安装得官网版本流星加速器安装包,报告中提到官网版本是不带有恶意模块的(虽然如此,但是主模块中也存在有调用病毒模块的逻辑,因为暂时逻辑未生效所以没有对主模块进行查杀)
天地英雄 发表于 2020-8-14 21:22
官方版本的貌似没有拦截过,各位下载软件一定要从官网下啊!!!!!!不要从来路不明的小下载站下载!!!!!!我也用这款加速器!!!!!!
上官逸云 发表于 2020-8-14 23:04
怕什麼,我天天在用,也沒見什麼病毒
chinabilibili 发表于 2020-8-14 21:13
请问我这两个月一直在用流星加速器,但是根据你给的路径并没有发现LocalNetwork.exe和SecurityGuard.exe,甚至都没有Microsoft App文件夹,我刚下载并使用火绒全盘查杀也没有发现病毒,这是怎么回事?
昕夕之光 发表于 2020-8-14 21:03
官网的版本用了之后没有类似的进程出现,不知道是不是这些危险部分都是下载器自带进去的?
侧耳倾听丶 发表于 2020-8-14 22:36
qiqi2050352 发表于 2020-8-14 22:10
我官方下的,用火绒直接扫流星的文件夹发现木马,重点是我现在流星加速器咋卸载不了,

我也是卸载不了,好坑啊
小猪哥 发表于 2020-8-14 20:05
大徐州苏C皮蛋鲁大摩的公司

免费评分

参与人数 1吾爱币 +1 收起 理由
haohuixin0915 + 1 你头像为啥这么叼?

查看全部评分

注册账号太难了 发表于 2020-8-14 21:03
本帖最后由 注册账号太难了 于 2020-8-14 21:11 编辑

已解决,感谢楼主,感谢火绒
休闲森林猫 发表于 2020-8-15 18:45
现在这些软件,都在套取使用者利益,方式越来越多。。。。。
辛苦楼主,
这个病毒软件果断不用
森林游狼 发表于 2020-8-14 19:59
前排支持
Song、vae 发表于 2020-8-14 19:59
前不久看见这加速器到处打广告,还好没用
BeautifulBoy 发表于 2020-8-14 20:04
我很赞同
唯美孤独 发表于 2020-8-14 20:07
我艹  我一直在用 怎么办啊
严锐添 发表于 2020-8-14 20:07
之前一直用着个加速器来打吃鸡,
柒呀柒 发表于 2020-8-14 20:08
支持支持!!!
帅瑞瑞 发表于 2020-8-14 20:08
完了我之前用过
jpw1680 发表于 2020-8-14 20:12
感谢及时预警,幸好没有用过
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 06:42

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表