蘇拉克病毒陰魂不散, 多款裝機軟件暗藏后門

2020-02-21 來源:安全豹作者:安全豹


一、事件概述

        近期毒霸安全團隊在日常樣本監控中發現一批云控后門模塊的傳播感染量大幅上漲,其主要宿主程序為"廣州天行客網絡科技有限公司"旗下的多款裝機工具中,包括:"韓博士"、"黑鯊"、"大地"等系統重裝軟件。

        從我們的溯源結果分析發現,該款惡意裝機軟件"改頭換面"成為驅動人生旗下的"一鍵重裝",但是同樣內嵌后門模塊,這也是近期該后門感染量急劇上升的重要原因之一。雖然目前該后門模塊暫時處于休眠狀態,但是分析線索顯示該后門和2015年肆虐網絡的“蘇拉克”Rootkit劫持病毒可能存在密切關聯,安全隱患不容忽視。我們呼吁廣大用戶安裝正版系統,避免不必要的安全損失。


二、技術分析

        以下我們以"驅動人生一鍵重裝"為例進行分析,該軟件目前可在"驅動人生"官網下載,但數字簽名依舊為"廣州天行客網絡科技有限公司",其中內嵌的后門模塊為"InsNet.dll",該模塊使用VMP加殼保護隱藏后門代碼。

 


        通過脫殼分析,該模塊所有導出功能函數共用同一個工作線程,通過標記序號執行信息上報、渠道配置等功能,其中就包括后門代碼,從相關日志函數字符串非常明顯看出其后門功能身份,如此直白的惡意代碼也非常少見。

 


        后門模塊優先從注冊表讀取后門服務器IP、端口配置,如果不存在則檢查注冊表中機器啟動次數、特定標記和控制域名"1.xitongss.com"的解析狀態,如果不滿足條件則繼續休眠,否則連接控制域名,通過自定義協議(RSA加密)獲取后門相關配置。

 


        從目前控制域名的解析狀態和我們的跟蹤監控情況來看,該后門長期處于休眠狀態,但是安全風險不容忽視,我們在后門模塊中還發現該后門模塊和2015年肆虐網絡的“蘇拉克”Rootkit劫持病毒存在疑似關聯,極有可能是其重要傳播渠道之一。

 


        如上圖,后門工作代碼指定的保護服務配置正是“蘇拉克(surak)”病毒,該病毒作為頑固劫持Rootkit曾經通過ghost系統、激活工具等渠道在2015年廣泛傳播,除了主頁鎖定、推送病毒,還通過系統預置、破壞系統安全機制等手法大范圍對抗安全軟件正常安裝使用。

 


        我們嘗試通過該軟件安裝windows系統之后,發現預裝多款瀏覽器主頁均被篡改并安裝多款流氓插件,并且預裝的360等安全軟件的信任區被預先添加多款病毒、流氓軟件,這也是惡意裝機工具預置后門對抗查殺的常用手法。


三、安全建議

        裝機工具、盜版Ghost系統、系統激活工具一直都是惡意頑固木馬的傳播溫床,一般通過預置流量劫持類Rootkit木馬、預裝流氓軟件、篡改用戶主頁、安裝惡意瀏覽器插件等方式牟利,對用戶系統安全性造成極大隱患,我們建議用戶慎用此類風險軟件,目前毒霸可以有效查殺攔截此類裝機軟件后門。

毒霸官網: http://www.4026004.live/

 


四、IOC

域名/IP/URL:

*.xitongss.com

hxxps://onekey.160.com/

hxxp://file1.updrv.com/soft/OnekeySetup/1.0.7.240/OnekeySetup_1111_1.0.7.240.exe

hxxp://softdown.coumie.top:8010/HanBoShiV2_Install.exe

hxxp://softdown.coumie.top:8010/HeiShaV2_Install.exe


HASH:

A0CADE54D6CD94A45901C93D4C197384

69D1BACE961BE35D7312064FCC181970

20B6F5BE730EA47C6ABBC76A249F5B88

57DA9932FA5BCBEB5C686913242A01D5

D7A2A5C87D6BBAA871046F93A7C31752 


000009股票行情和讯网