吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 26642|回复: 486
上一主题 下一主题

[PC样本分析] “酷我音乐”借“大数据”名义 恐已窥探并收集用户隐私长达数年

    [复制链接]
跳转到指定楼层
楼主
此生长唸 发表于 2019-12-31 22:11 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
【快讯】近日,火绒工程师在帮助用户远程解决问题时,现场发现一个间谍木马模块(TrojanSpy),溯源后发现该木马来源为知名软件“酷我音乐”。该木马运行后,会搜集用户QQ号等隐私信息,还会通过用户上网历史归纳用户特征,并回传至“酷我音乐”服务器后台。由于该软件下载量较多,导致受影响的用户范围较大。目前火绒安全软件最新版可查杀该病毒。

火绒工程师深入分析发现,“酷我音乐”携带的间谍木马会在后台进行搜集用户隐私信息等恶意行为:
1、搜集用户主机登录过的QQ号码。
2、通过浏览器浏览历史归纳用户特征后回传后台。
3、通过云控配置下发命令至用户电脑,比如下载音频文件回传到服务器后台。
此外,该木马还可随时通过远程服务器进行其它操作,不排除未来通过修改云控配置下发其它风险模块的可能性。
同时, “酷我音乐”会通过云控下发两套间谍木马:一套下发在软件的安装目录下;另外一套则会下发到非软件安装目录,且即便“酷我音乐”卸载后仍然驻留用户系统,持续响应云控指令。
事实上,早在2015年,“酷我音乐”携带的上述间谍木马就曾被国外安全厂商报“潜在不需要的程序(PUA/PUP)”(见下方用户反馈链接)。可能由于该报法与行业内对恶意软件的定义有区别,因此未能引起其它安全厂商注意。直到今日火绒工程师在用户现场中发现,进而详细分析,认为这套组件功能已经超出了“PUA/PUP”的定义,且符合 间谍木马的定义。
值得一提的是,火绒工程师还发现该间谍木马的云控配置的链接在一个名为“bigdata”(大数据)目录下,推测该间谍木马是用作所谓的大数据收集之用。
信息时代的发展,越来越多的互联网公司对“大数据”趋之若鹜,对于过分追求数据信息而出现越权行为的软件、程序,火绒都将及时、持续进行拦截查杀,保护用户合理权益。同时,我们也呼吁 此类软件厂商,停止越权搜集用户信息等恶意行为,理性逐利,长久发展。最后,用户如 遇到任何可疑问题,可随时联系火绒获得帮助。
相关链接:
2015年卡饭网友反映安全厂商对“酷我音乐”的拦截


 
一、溯源分析
近期,我们接到用户反馈,在用现场发现多个带有有效酷我音乐数字签名(BEIJING KUWO TECHNOLOGY CO.,LTD.)的可疑模块。可疑模块出现目录,如下图所示:

可疑模块所在目录
kreap5141.dll数字签名信息,如下图所示:

kreap5141.dll数字签名信息
经过分析,我们发现这是一组恶意程序,kreap5141.dll为随机名动态库,该动态库会被注册为ShellIconOverlayIdentifiers启动项由explorer进行加载。kreap5141.dll动态库会使用rundll32.exe调用kreap5141_core.dll获取任务动态库到用户本地执行。 kreap5141_core.dll 可以从C&C服务器下发恶意功能模块到用户本地执行,恶意功能包括从用户本地收集在当前计算机登录过的QQ号信息、浏览器历史记录画像信息、软件安装信息等、上传音频文件等。
之后通过溯源,我们又在酷我音乐安装目录下找到了具有相同功能代码的恶意模块KwExternal.exe,该模块由KwService.exe从服务器获取,由酷我音乐主程序(kwmusic.exe)调用,执行后即会根据服务器返回的配置数据收集用户隐私信息。由于恶意功能代码与前文中随即名动态库相同,所以我们仅以KwExternal.exe为例进行分析。恶意行为执行流程,如下图所示:

恶意行为执行流程
KwExternal.exe文件数字签名信息中显示签名时间为2019年4月8日。数字签名信息,如下图所示:

KwExternal.exe模块文件数字签名信息

二、详细分析
KwExternal.exe恶意模块主要用来收集、上传用户本地信息,在安装酷我音乐后会有KwService.exe进行下发,由酷我音乐主程序(kwmusic.exe)调用。相关下发逻辑在Kwmv.dll模块中实现,首先向C&C服务器地址(http://deliver.kuwo.cn/yl_res_manage.search)请求KwExternal.exe模块下载地址。发送请求时,会将MAC地址、IP地址等信息发送至服务器,请求构造的相关数据,如下图所示:

发送的请求数据
上述数据经过Base64编码后会发送到C&C服务器,构造后的请求数据包相关数据,如下图所示:

请求数据
C&C服务器在收到请求后会返回KwExternal.exe模块的下载地址,仅以部分数据为例,如下图所示:

KwExternal.exe下载配置
随后KwExternal.exe模块数据会被下载至本地的C:\KwDownload\Temp目录下的随机名文件(如:C9F903ADC5ED0F62.exe),之后再由酷我音乐主程序kwmusic.exe将随机名文件移动至安装目录下,启动KwExternal.exe执行恶意行为。相关行为日志,如下图所示:

下载KwExternal.exe模块数据

移动至酷我音乐安装目录下
KwExternal.exe运行后会根据本地配置(C:\ProgramData\kuwodata\kwmusic2013\Conf\Server\config.ini)中的数据收集开关选项(DataCollect)收集用户本地信息,且该开关默认为打开状态。KwExternal.exe收集的用户信息包含有:用户本地登录过的QQ号、用户终端上网行为信息、终端环境信息(软件环境、桌面图标等)、下载并收集音频文件等。除此之外,相关配置信息,如下图所示:

配置文件
该模块会根据云控下发的规则配置文件对所需要的信息进行收集,然后保存为json格式并加密传输到C&C服务器。服务器地址可以通过配置文件配置,默认为hxxp://ecomgxh.kuwo.cn/EcomGxhServer/st/receiveUserInfoServlet。收集信息的规则文件现在无法请求到,但是不排除之后再次下发的可能性。从代码逻辑可以看出,收集用户信息包括:用户访问具体网站的次数,用户是否安装了特定的影音播放器,是否安装了黑名单中的软件,是否经常访问某些网站以及进行游戏和观看直播的程度。被发送的json格式信息,如下图所示:

收集用户信息构造的json数据

收集终端环境信息

软件信息收集

该模块会通过遍历HKLM和HKCU主键下的SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall子键,得到用户安装的软件列表。然后与规则文件中的软件名称进行匹配,得到用户安装的浏览器(为收集浏览器历史信息做准备),影音播放器,游戏盒子,游戏微端,直播软件和在黑名单中的软件情况。相关代码,如下图所示:

收集软件列表
查询是否安装特定影音播放器列表,如下图所示:

收集的影音播放器

收集游戏盒子,微端和直播软件的数量
桌面图标后缀信息收集
该恶意模块还会对“%COMMON_DESKTOPDIRECTORY%”和“%DESKTOPDIRECTORY%”目录下的用户图标文件进行遍历,获取图标后缀信息,相关代码如下图所示:

获取用户桌面图标后缀信息
当获取完用户桌面上的图标后缀信息之后,后续的发送数据流程与下文发送QQ账号信息的方法一致,相关代码如下图所示:

获取的用户桌面图标后缀信息

收集用户本地登录过的QQ号
该恶意模块会获取用户系统“%APPDATA%\Tencent\QQ\Misc\”目录下的QQ账号信息,相关代码如下图所示:

获取“%APPDATA%\Tencent\QQ\Misc\”目录下QQ账号信息
当获取完用户系统上的QQ账号信息之后,该模块便会将其通过zlib压缩,并加密使用Base64编码后,放入消息数据包中,创建网络线程,从而传输给远程服务器(hxxp://log1.kuwo.cn/feedback.s或hxxp://log.kuwo.cn/music.yl),相关代码如下图所示:

获取的用户QQ账号信息

发送含有用户QQ账号信息的消息数据

收集用户终端上网行为信息
受影响的浏览器名称及相关代码,如下图所示:

受影响的浏览器

受影响的浏览器
该恶意模块会通过sql命令及系统相关函数来查询用户浏览器的历史访问记录信息,下面以搜狗高速浏览器为例。首先,该模块会检测收集软件信息时得到的浏览器标记位,判断用户主机上是否安装搜狗高速浏览器。如果搜狗高速浏览器正在运行,则将储存有用户历史浏览记录的数据库文件复制并重命名到临时文件目录下。相关代码如下图所示:

复制浏览器数据库文件到临时文件夹下
之后运行sql命令“SELECT a.id,a.last FROM UserRankUrl a;”查询历史记录数据库中用户近一个月的历史访问网址及访问时间,相关代码如下图所示:

查询数据库中历史网址相关信息
通过sqlite查看工具执行命令“SELECT a.id,a.last FROM UserRankUrl a;”查询搜狗高速浏览器历史网址数据库HistoryUrl3.db,得到历史网址和访问时间。结果如下图所示:

Sql命令查询测试结果
获取完上述所列出的浏览器历史访问记录后,该模块会根据配置文件中的关键网址字段信息与历史网址记录进行匹配,如若匹配成功,则将该网址对应的访问计数值加一,用于填写json信息中的rule值。当访问计数值到达配置中数值要求时,则将json信息中的testLinkType中对应的字段值置一。根据收集到的历史记录和安装软件信息,归纳出用户特征,填充json信息中的userType字段值。下面 以“GamePlateMatch”为例,相关代码如下图所示:

历史网址信息所需匹配的关键字段

匹配与GamePlateMatch相关的历史网址

根据软件和浏览器历史,归纳用户特征
将收集到的json格式信息进行简单的异或加密和Base64编码后,发送至C&C服务器。相关代码,如下图所示:

将收集的信息加密并发送

下载并收集音频文件
在执行下载收集音频文件相关操作时,首先会检测本地config.ini配置文件中DataCollect -> EnableSongCollect的值是否为1,判断是否执行下载收集音频文件流程,之后再在SongLink -> UrlQurySongReg项下获取音频下载地址。相关代码,如下图所示:

下载收集音频代码
如上图代码所示,首先会请求配置数据,该配置数据中包含有音频下载配置的下载地址(url)和上传地址(td_ip)。配置数据格式,如下图所示:

配置数据
上述配置数据中url字段包含有音频下载配置的下载地址,音频下载配置中存放有需要收集的音频文件下载地址。音频下载配置格式,如下图所示:

音频下载配置
音频下载配置解析相关代码,如下图所示:

音频下载配置解析
在获取音频文件下载地址的同时,还会判断下载地址中是否包含“_h.mp3”字符串,如果存在则会执行下载操作。相关代码,如下图所示:

判断是否需要下载
之后,相关恶意代码逻辑会检测SongDataCollect.pl文件中记录的文件路径(filePath)是否存在。如果filePath中的路径存在,则调用上传逻辑将音频文件内容上传至C&C服务器(前文配置中td_ip为上传C&C服务器地址);如果不存在则会按照前文中提到的音频下载地址下载音频文件到本地Temp目录中,再将Temp目录中下载的音频文件上传回C&C服务器。相关配置格式,如下图所示:

SongDataCollect.pl配置数据格式
相关代码,如下图所示:

检测、下载音频文件
最后,会将本地获取或者下载的音频文件数据上传至C&C服务器(前文配置中td_ip为上传C&C服务器地址)。相关代码逻辑,如下图所示:

上传文件
由于现行酷我音乐相关配置暂未开启,所以我们根据KwExternal.exe代码逻辑构造了相应的配置文件进行功能验证,验证结果与分析内容完全一致。相关行为,如下图所示:

收集上传音频文件行为日志

三、同源性分析
我们在用户现场提取到的kreap5141.dll随机名动态库会根据配置文件下发的恶意模块到本地执行,在下发的多个恶意模块中,我们找到了一个和KwExternal.exe功能高度相似的恶意模块1002.dll。1002.dll数字签名信息,如下图所示:

1002.dll数字签名信息
kreap5141.dll随机名动态库虽然带有酷我音乐有效数字签名,但是酷我音乐卸载时,并不会对kreap5141.dll相关恶意模块进行删除。下发恶意代码到用户本地执行的相关配置数据,如下图所示:

恶意模块下发相关配置
KwExternal.exe与1002.dll代码具有极高相似性,所以系同源恶意模块。同源代码,如下图所示:

KwExternal.exe与1002.dll同源代码

四、附录
样本hash

点评

现在的国产软件都很缺德啊  发表于 2020-1-2 15:24

免费评分

参与人数 330吾爱币 +326 热心值 +308 收起 理由
cckkyy + 1 + 1 谢谢@Thanks!
wudi2019 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
萧然行者 + 1 + 1 用心讨论,共获提升!
小米创始人 + 1 + 1 用心讨论,共获提升!
orangeyxb + 1 + 1 我很赞同!
jiangyashun + 1 + 1 证据这么确凿 没有官方管吗? 黑客们搞了他的服务器
a709447628 + 1 + 1 热心回复!
mabing21 + 1 + 1 我很赞同!
洪咸饭 + 1 + 1 谢谢@Thanks!
wjx8885577 + 1 + 1 我很赞同!
wosiwq + 1 + 1 谢谢@Thanks!
byvip231 + 1 + 1 谢谢@Thanks!
291344208a + 1 + 1 难以置信啊,国产软件吃相居然这么难看??!
一路吧 + 1 + 1 谢谢@Thanks!
2longlong + 1 + 1 国内软件吃香太难看
不爱everyone + 1 + 1 谢谢@Thanks!
老司机带我上车 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lazysoul + 1 + 1 我很赞同!
肥波爱学习 + 1 用心讨论,共获提升!
dahai1270 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wjdxx1985 + 1 + 1 谢谢@Thanks!
5598869 + 1 + 1 收集这点信息不叫啥!!!!!!!!!!
Love_MyYue + 1 + 1 用心讨论,共获提升!给大佬点赞
T_Tzzz + 1 + 1 热心回复!
ldl2003 + 1 + 1 我很赞同!
sxpl + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
feixiang3839 + 1 + 1 高手啊
malno + 1 + 1 我很赞同!
xlvenus + 1 + 1 谢谢@Thanks!
gy810 + 1 + 1 用心讨论,共获提升!
ing02019 + 1 + 1 用心讨论,共获提升!
战魂皇族 + 1 + 1 谢谢@Thanks!
liuliu0823 + 1 + 1 热心回复!
兰陵笑笑生 + 1 + 1 我很赞同!
miaomen313 + 1 + 1 虽然看不懂,但这么辛勤的劳作不应该奖励吗?
杨雨 + 1 谢谢@Thanks!
木马似流光 + 1 + 1 热心回复!
0Nullptr + 1 + 1 我很赞同!
fei8255 + 1 + 1 用心讨论,共获提升!
奇虎360安全卫士 + 1 + 1 已转发微博
青山遮不住 + 1 + 1 我很赞同!
大哥金 + 1 + 1 谢谢@Thanks!
Rene + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ykzhuyu + 1 + 1 太黑了
xiaojin0313 + 1 + 1 用心讨论,共获提升!
夜凉星亮 + 1 谢谢@Thanks!
245322788 + 1 + 1 谢谢@Thanks!
fsYY + 1 + 1 谢谢@Thanks!
赤司征十郎 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
loners + 1 + 1 用心讨论,共获提升!
cx3132 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lishixin23 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
prurite + 1 + 1 我很赞同!支持火绒
不知世界有多大 + 1 + 1 谢谢@Thanks!
Lao4g666 + 1 + 1 我很赞同!
霜林尽染555 + 1 + 1 热心回复!
yinyueshijie200 + 1 + 1 我很赞同!
言和 + 3 + 1 我很赞同!
小呦呦呦哟 + 1 + 1 用心讨论,共获提升!
Mojiu + 1 + 1 谢谢@Thanks!
浮华乱世 + 1 没人上交举报给国家 没人查封 没人管么??
baixiuxiu + 1 + 1 谢谢@Thanks!
沦落成了美__ + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jusmeng + 1 + 1 用心讨论,共获提升!
剑心之疤 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
郭江峰 + 1 我很赞同!
銀鈅 + 1 + 1 用心讨论,共获提升!
YuWenXin + 1 + 1 感谢大神曝光不良软件!
andaytom + 1 + 1 鼓励转贴优秀软件安全工具和文档!
hackhp + 1 + 1 我很赞同!
kakaoracle2018 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
36307183 + 1 + 1 谢谢@Thanks!
KyleNiu + 1 + 1 不说不知道,一看吓一跳!幸好我只用本地音乐播放器
h45673 + 1 + 1 用心讨论,共获提升!
奈何心善 + 1 + 1 以前用nod32.后来改火绒,支持国产,支持火绒!
1912858333 + 1 + 1 我很赞同!
该用户不想起名 + 1 + 1 我很赞同!
wjfyxk1231 + 1 + 1 我很赞同!
ayoma + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
1455018613 + 1 我很赞同!
chenmintian + 1 + 1 我很赞同!
zsksssss + 1 生活在墙内其实早已无隐私可言 嘿嘿
孤僻木鱼 + 1 + 1 热心回复!
Encounter + 1 + 1 我很赞同!
SanadaYukimura + 1 + 1 用心讨论,共获提升!
lsw2740 + 1 + 1 我很赞同!
yutianqaq + 1 + 1 热心回复!
yangkaicheng + 1 膜拜大神,抵制酷我
plj529 + 1 + 1 用心讨论,共获提升!
剽完不给钱 + 1 + 1 我很赞同!
Fortunate° + 1 + 1 我很赞同!
a838001879 + 1 + 1 谢谢@Thanks!
13836533398 + 1 + 1 看的我一脸懵逼。但还是觉得很牛 币的样子
wuyanchengxi + 1 + 1 感谢分享。早就能不用国产软件就不用了
99099 + 1 我很赞同!
zhixi + 1 + 1 希望 火绒 能不忘初心!!!加油
yangsd973 + 1 + 1 热心回复!
johnwen + 1 + 1 用心讨论,共获提升!
hztianbio + 1 + 1 谢谢@Thanks!
gmailtxt + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
bluepw 发表于 2019-12-31 22:39
腾讯旗下的不必担心,腾讯安全的很,腾讯御见、御点防御能力吊打火绒。

免费评分

参与人数 2吾爱币 0 收起 理由
天云草丶少主 -1 腾讯的那啥“病毒管家”就是3Q大战衍生的附属品,出来搞笑的。
G孟纸 + 1 就算腾讯查杀病毒的能力强,但是论良心还比不上火绒

查看全部评分

推荐
Xw丶小威 发表于 2019-12-31 23:37
各大厂商估计恨透了火绒。火绒让他们吃不到蛋糕,估计以后路不好走。加油。我们都挺你,火绒。

免费评分

参与人数 1热心值 +1 收起 理由
天云草丶少主 + 1 我也一直在用火绒,良心

查看全部评分

推荐
mfkbbdx1 发表于 2019-12-31 22:21
本帖最后由 mfkbbdx1 于 2019-12-31 22:49 编辑

言归正传,杜绝国产软件才是避免隐私泄露的根本
难怪德国鬼子不允许公司内部的任何计算机使用国产软件;

个人的操作习惯也很重要,在个人计算机上必须使用国产软件后,应该借助恢复软件,将整个C盘分区,恢复到没有安装过相关软件之前的状态。

此外,杀毒软件的选择也很关键!老外为什么敢把迈克菲、赛门铁克这些软件安装在重要的服务器上,说明软件有保障;
我司仅一台邮件服务器上的赛门铁克杀软,一年的杀毒软件费用是60万人民币;由非人为原因导致的商业泄密,由赛门铁克全额赔偿。

免费评分

参与人数 3吾爱币 +2 热心值 +3 收起 理由
363880354 + 1 + 1 我很赞同!
HL大侠 + 1 + 1 我很赞同!
Supermexyh + 1 我也用风之影浏览器

查看全部评分

推荐
培尔金特 发表于 2019-12-31 23:06
所有不开放源码的商业软件都可以默认是间谍软件,没必要大惊小怪的,特别这些音乐软件本来就搞大数据推荐算法,暗地里搞点小动作再正常不过了。
推荐
xtuuqtbl 发表于 2020-1-1 08:55
我就知道为什么这么多酷我破解版,必定有鬼
推荐
65302666 发表于 2019-12-31 22:19
现在某些软件肆意窃取用户隐私及数据,唯有火绒不变初心,一直走在前线。
推荐
86933924 发表于 2020-1-1 21:17
说白了就是管的松,要是一经查实,先蹲30年,你看看谁还敢!
推荐
gly795 发表于 2019-12-31 22:53
只要用了国内的软件,你的手机和电脑根本就不会存在保护隐私的问题
推荐
光照 发表于 2019-12-31 23:01
现在我们那还有什么隐私
推荐
令狐大虾 发表于 2019-12-31 23:00
我朝的软件为了利益也是拼了
12#
暮色渐蓝 发表于 2019-12-31 22:16
还有uc浏览器,都不干好事🤪
13#
风轻然雨朦胧 发表于 2019-12-31 22:19
本帖最后由 风轻然雨朦胧 于 2019-12-31 22:20 编辑

网上都是酷我破解版的,正版的根本转不了多少钱,所以就盗号了?
14#
dsl1976 发表于 2019-12-31 22:25
我手机前段时间装了酷我音乐,会不会中招?要怎么查杀?
15#
愚无尽 发表于 2019-12-31 22:30
哇瑟,你这不是爆炸性新闻吗,酷我在行内也是有名的音乐综合播放平台,爆出这么大的问题,真是瑟瑟发抖,静观其变!
16#
dxr2103908 发表于 2019-12-31 22:34
报  警  吧
17#
陌上人 发表于 2019-12-31 22:38
我天 我电脑装了酷我 真是后怕
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-2-18 18:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表