吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 63055|回复: 461
上一主题 下一主题
收起左侧

[PC样本分析] 知名压缩软件“快压”传播病毒和多款流氓软件 劫持流量

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2018-7-11 19:46 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
    一、     概述
    日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用“火绒安全软件”对电脑进行扫描查杀。

   

    图1:“快压”给用户电脑强制推广软件
    用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.ff”。病毒入侵电脑后,会劫持用户首页。
    "快压”自身也存在多种流氓行为,会在用户电脑中弹出广告、创建“淘宝”、“百度”桌面快捷方式。并且“快压”会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。

   

    图2:推广弹窗无关闭按钮
    此外,“快压”还会推广“小黑记事本”、“ABC看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然“快压”为上海广乐网络科技有限公司旗下产品,“小黑记事本”、“ABC看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。

   
    “火绒安全软件”无需升级即可查杀木马病毒“Trojan/StartPage.ff”,将火绒升级到最新版,即可拦截“快压”上述流氓行为。
   
二、       病毒来源
    近日,火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加,随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线,如下图所示:

   

    近半年的感染量
    火绒于2016年已查杀此病毒,目前大部分杀毒软件厂商也已查杀此病毒,该病毒在VirusTotal上的查杀情况,如下图所示:

   

    该病毒在VirusTotal上的查杀情况
    通过样本溯源分析,我们发现此类病毒属于一款叫“WinHome主页卫士”的小程序,但是我们在互联网上并未找到此程序的官网,只找到其推广页面。如下图所示:

   

    主页卫士推广界面
    根据推广页面提示,该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,劫持浏览器首页。该安装包的数字签名是SHANGHAIZHANMENG NETWORK TECHNOLOGY CO.,LTD.(上海展盟网络科技有限公司)。其静默安装包属性,如下图所示:

   

    主页卫士静默安装包属性
    在分析过程中,我们发现快压压缩软件会推广此病毒程序,如下图所示:

   

    快压推广主页卫士
    快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件,并会根据配置文件中BlockedProcessList,和InjectBlockedProcessList判断360安全卫士,金山毒霸,腾讯电脑管家等多款杀毒软件的进程是否运行,以此来选择推广策略,例如,当360Tray.exe和kxetray.exe两个进程同时存在时,则不执行捆绑逻辑,以此来躲避杀毒软件,一般恶意代码才会使用这种判断逻辑。配置文件信息,如下图所示:

   

    捆绑所需配置文件
    三、       详细分析
    1.   软件推广
    除了捆绑下载锁首病毒之外,我们发现快压压缩软件在程序升级时会推广其他软件,具体推广逻辑如下所示。
    快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件,该流氓软件会向云端服务器请求推广软件相关的策略信息,并根据当前用户的计算机环境,执行不同的推广策略,以此获取利益。KuaizipUpdate.exe文件属性,如下图所示:

   

    KuaizipUpdate.exe文件属性
    KuaizipUpdate.exe主要逻辑,如下图所示:

   

    KuaizipUpdate.exe执行逻辑
    KuaizipUpdate.exe运行时,会向hxxp://i.kpzip.com/n/tui/update_agency/kb.xml请求判断捆绑环境所需的策略文件,解密后的部分策略文件,如下图所示:

   

    解密后策略文件
    该策略文件中使用到的标签,如下图所示:

   

    判断标签
    KuaizipUpdate.exe会主动判断一些常见的杀毒软件进程,如下图所示:

   

    KuaizipUpdate.exe判断的杀软进程
    以如下策略为例,当渠道号为“rytx2_“且存在进程”QQPCRTP.exe”时,就从url对应的地址获取安装包下载路径和运行所需的命令行配置文件。

   

    示例策略
    获取的安装包下载路径和运行所需命令行配置文件,解密后,如下图所示:

   

    配置文件
    然后KuaizipUpdate.exe会解析配置文件中安装包的下载地址和运行参数,下载并运行安装包。安装包在运行之后会解析其参数,并创建KZTui.exe执行推广逻辑的进程。

   

    拉起KZTui.exe
    KZTui.exe在运行后会向hxxp://bundle.kpzip.com/n/kztui/kb/def.txt请求推广软件相关的配置信息。如下图所示:

   

    推广软件配置文件
    我们发现,被推广的软件中,有一半是属于上海展盟网络科技有限公司。被推广的软件列表,如下图所示:

   

    被推广的软件列表
    KZTui.exe会根据配置文件中对应的Reg字段来判断当前系统是否安装此类软件,并弹窗提示用户安装列表中未安装的三种软件,值得注意的是,此推广弹窗,并无关闭按钮。推广弹窗,如下图所示:

   

    推广弹窗
    除了捆绑软件之外,KZTui.exe还会在桌面创建垃圾快捷方式,如下图所示:

   

    创建的桌面快捷方式
    2.   广告弹窗
    快压程序安装时,会在安装目录的x86目录下释放一个UpdateChecker.exe的流氓软件,文件描述为“快压检查更新程序”,文件属性,如下图所示:

   

    UpdateChecker.exe文件属性
    每次启动电脑之后,快压右键菜单拓展程序KuaiZipShell.dll会通过explorer.exe启动UpdateChecker.exe,火绒剑中观察其启动流程,如下图所示:

   

    UpdateChecker.exe启动流程
    UpdateChecker启动之后,会检测当前运行环境,并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程,如下图所示:

   

    火绒剑监控UpdateChecker.exe运行流程
    UpdateChecker运行之后,会向hxxp://i.kpzip.com/n/updatechecker/urls.xml请求配置文件,该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示:

   

    url.xml解密后内容
    之后会去配置文件中对应的地址请求判断条件相关的配置文件,以hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml为例,判断依据主要有是否勾选热点新闻,低版本和过白版本,特殊渠道,杀软坏境,以及时间段等,判断逻辑跟软件推广相关代码逻辑相同,此处不做赘述。解密后部分配置文件,如下图所示:

   

    判断是否弹窗的配置文件
    如果当前环境满足判断条件中的一种,就取kun_bang对应的url,该url对应的配置文件中存放要下载的广告程序网址,文件保存路径,以及执行时所需的参数,如下图所示:

   

    下载弹窗程序所需的配置文件
    由于配置文件是在云端可控的,该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序,弹窗广告程序文件夹,如下图所示:

   

    随机路径+随机文件名的方式对抗弹窗拦截软件
    下载的广告程序属性,如下图所示:

   

    文件属性
    小贴士和迷你新闻运行之后会弹广告窗口,如下图所示:

   

    小贴士对应广告弹窗

   

    迷你新闻广告弹窗
    四、       同源性分析
    经过火绒安全团队分析,上海广乐网络科技有限公司旗下产品快压(速压)和上海展盟网络科技有限公司旗下小黑记事本和ABC看图等软件均携带此类流氓软件。经过查询两家企业的注册信息,我们发现这两家公司的法定代表人是同一人,其注册邮箱也相同。企业注册信息对比,如下图所示:

   

    两家企业的注册信息对比
    两家企业旗下产品的部分文件属性,如下图所示:

   

    快压安装包及携带的流氓程序属性

   

    ABC看图安装包及携带的流氓程序属性

   

    小黑记事本安装包及携带的流氓程序属性
    快压迷你新闻页弹窗和ABC看图,小黑记事本对比,如下图所示:

   

    迷你新闻弹窗对比
    经过我们分析,发现其代码也具有高度相似性,且其运行时创建的互斥量也完全相同,部分代码比较,如下图所示:

   

    代码相似性比较

五、       附录
    文中涉及样本SHA256:

   
   

点评

winRAR 5.5,一款收费却永久免费的软件,你值得拥有。  发表于 2018-7-13 10:20
官人。你反应也太慢了把。。。。  发表于 2018-7-12 09:58

免费评分

参与人数 198吾爱币 +197 热心值 +187 收起 理由
mzhn + 1 + 1 谢谢@Thanks!
stone0905 + 1 + 1 我很赞同!
梦古无疆 + 1 + 1 热心回复!
爱里Aili + 1 热心回复!
青然 + 1 + 1 大佬破解个来用
烟雨暗千家 + 1 + 1 热心回复!
心照不宣 + 1 + 1 我很赞同!
RoB1n_Ho0d + 1 + 1 谢谢@Thanks!
岚匀 + 1 + 1 用心讨论,共获提升!
雪山hu + 1 + 1 用心讨论,共获提升!
王劲呆 + 1 + 1 快压这个软件就是个大流氓,广告满天飞
星黎月华 + 1 + 1 用心讨论,共获提升!
cfcbj520 + 1 + 1 谢谢@Thanks!
泰阳的妍色 + 1 + 1 热心回复!
hack_hu + 1 + 1 我很赞同!
羊吃狼 + 1 + 1 我很赞同!
chen180 + 1 + 1 2345一样,没有黑!还不如WinRAR!
price314 + 1 + 1 我很赞同!
倚风观澜 + 1 + 1 7z了解一下~
kushua + 1 快压VIP已经上线,你值得拥有!
可爱的小新萌 + 1 + 1 谁在扔鸡蛋呢?
tinnkyu + 1 + 1 谢谢@Thanks!
wayi + 1 + 1 我很赞同!
xiaoding + 1 + 1 然后快压会推出付费会员版,无广告(滑稽)
斩_天_邪 + 1 我很赞同!
juejue + 1 + 1 热心回复!
n118p1 + 1 + 1 真是坑爹的软件
黑凉粉是小黑 + 1 谢谢@Thanks!
你好小白~~~ + 1 + 1 我很赞同!
rainxusky + 1 + 1 我很赞同!
77209341 + 1 + 1 我很赞同!
zzballack + 1 + 1 谢谢@Thanks!
小小苦逼少年 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Pear + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
q5q1234567 + 1 + 1 用心讨论,共获提升!
不懂破解 + 1 用快压或好压打包的文件,其它压缩软件是解压不了的,提示损坏!
故事好 + 1 + 1 我很赞同!
hetiwz + 1 + 1 热心回复!
猎户座xemo + 3 + 1 我很赞同!
Ivivid + 1 + 1 我很赞同!
bwp130227 + 1 + 1 谢谢@Thanks!
M1Nt1 + 1 + 1 谢谢@Thanks!
UncleYao + 1 + 1 热心回复!
传说中的冰糕 + 1 + 1 WinRAR值得拥有
daozhangdada + 1 + 1 谢谢@Thanks!
igefcufppt + 1 + 1 谢谢@Thanks!
biantai110 + 1 + 1 学习了感谢。
布丁涩味 + 1 一直用7zip
997719200 + 1 + 1 我很赞同!
尖叫时刻 + 1 + 1 一开始就知道这个软件很流氓
那些繁华往事 + 1 我用的Bandizip解压软件没广告没插件无任何东西!我用的Bandizip解压软件没.
Albert666 + 1 + 1 写这么多支持下 7z路过 不少人用快压或者好压
茫然唔错 + 1 从来不用。不过好多人喜欢
远洋君 + 1 + 1 谢谢@Thanks!
杨柳 + 1 + 1 分析很全面,7654和2345都是一个尿性
ahmeijian + 1 + 1 谢谢@Thanks!
三水之复制版 + 1 我很赞同!
asbc434025 + 1 热心回复!
十年无声_酒尚温 + 1 + 1 热心回复!
l199965889 + 1 + 1 我很赞同!
lhylhylove + 1 + 1 我很赞同!
君莫贱 + 1 + 1 用心讨论,共获提升!
赤色彗星 + 1 + 1 今日看了快压的官方回复,堪称无底线!
Czf45933 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
霞之丘诗羽 + 1 + 1 谢谢@Thanks!
zaki + 1 + 1 7z路过!!!
黄金体验 + 1 + 1 热心回复!
iamcjsyr + 1 + 1 热心回复!
dongmie + 1 + 1 我很赞同!
wuboxun + 1 + 1 谢谢@Thanks!
sniper9527 + 1 + 1 谢谢@Thanks!
FtsOZz + 1 + 1 热心回复!
8848钛金手机 + 1 + 1 7654垃圾联盟
沐林风 + 1 + 1 谢谢@Thanks!
一只雅蠛蝶 + 1 + 1 热心回复!
f12cz + 1 + 1 用心讨论,共获提升!
大大大大的梦 + 1 + 1 热心回复!
超人就是我1 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Dfeng + 1 + 1 谢谢@Thanks!
q987886 + 1 + 1 热心回复!
qq20123 + 1 + 1 我很赞同!
这是一场战争 + 1 + 1 有多少人被捆绑了毒霸网址大全?
lxq951 + 1 + 1 我很赞同!
Krazynutts + 1 + 1 从发现它有捆绑软件时就彻底清除了,用Bandizip
l1679668663 + 1 + 1 热心回复!
Assassins + 1 + 1 无良
dahuangben + 1 + 1 热心回复!
Aacud + 1 + 1 我很赞同!
孤胆枪手 + 1 + 1 评论好多缺心眼的,2345的是好压,不是快压,高端黑?
touhoufans + 1 + 1 谢谢@Thanks!
ZCShou + 1 + 1 7zip有木有用的!!
DaveiH + 1 + 1 我很赞同!
oxxo119 + 1 谢谢@Thanks! 这样的公司就应该破产,判个十刑 看谁还敢
snccwt + 1 + 1 谢谢@Thanks!
ptlantu + 1 + 1 热心回复!
IM_Suc + 1 + 1 2345 好压 好压 好压、看图王路过
13143191818 + 1 + 1 热心回复!
金黄的香蕉丶 + 1 + 1 下面评分的大神们,2345的是好压。。。不是快压
道祖 + 1 + 1 什么快压,从来不用2345系列的流氓软件,只有萌新会被坑
呆板暴风雪 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
强哥945 发表于 2018-7-11 20:05
2345,A股上市,哈哈哈,最流氓,没有之一

免费评分

参与人数 2吾爱币 0 收起 理由
Dicker -1 2345是好压,好压其实还挺好的
晓贤 + 1 眼瞎了希望你能治好 2345是好压 这是快压 快回家治治眼病吧

查看全部评分

推荐
Antizen 发表于 2018-7-11 20:06
一直对快压就没什么好感,从WinRAR转到bandizip的路过
推荐
思绪哥哥丶 发表于 2018-7-11 20:06
不是之前的2345吗 . 感觉老实捆绑

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
他乡 + 1 + 1 2345是现在改成好压了,快压确实是别家公司的,恩快压比较好用,一直在用

查看全部评分

推荐
Anakin 发表于 2018-7-12 00:06
这种软件肯定挣啦不少钱
推荐
_小白 发表于 2018-7-11 20:04
我赶快看来一下我的电脑,emmm,是好压
沙发
1160073482 发表于 2018-7-11 20:04
火绒不能强制拦截病毒。
7#
KENZO2018 发表于 2018-7-11 20:07
一直用winRAR
8#
lengyueyan 发表于 2018-7-11 20:08 来自手机
所以我换回WinRAR了
9#
wskk998 发表于 2018-7-11 20:10
也没QQ安装包毒吧  全家桶一下就来。
10#
旱章鱼 发表于 2018-7-11 20:10
emmm,没用快压。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 18:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表