根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)，火絨安全團(tuán)隊(duì)發(fā)現(xiàn)一款名為“流星加速器”的軟件，正通過(guò)各大下載站下載器進(jìn)行靜默推廣傳播，且攜帶惡意代理模塊和后門(mén)模塊。

　　根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)，火絨安全團(tuán)隊(duì)發(fā)現(xiàn)一款名為“流星加速器”的軟件，正通過(guò)各大下載站下載器進(jìn)行靜默推廣傳播，且攜帶惡意代理模塊和后門(mén)模塊。用戶(hù)運(yùn)行該軟件后，就會(huì)激活這些病毒模塊。病毒可以控制用戶(hù)電腦，執(zhí)行任意命令。

　　由于“流星加速器”用戶(hù)數(shù)量較多，致使病毒影響的范圍較大，目前已感染上百萬(wàn)用戶(hù)，且感染量還在以單日超過(guò)10萬(wàn)的數(shù)量增長(zhǎng)，請(qǐng)廣大用戶(hù)小心防范。火絨安全軟件最新版可及時(shí)攔截、查殺上述病毒模塊，且不會(huì)損壞軟件的正常功能，請(qǐng)用戶(hù)放心使用。

　　

 

　　根據(jù)火絨工程師分析，“流星加速器”運(yùn)行后會(huì)釋放兩個(gè)病毒模塊，其中一個(gè)具備惡意代理功能，可控制用戶(hù)電腦作為流量跳板;另一個(gè)模塊具備后門(mén)功能，可執(zhí)行任意遠(yuǎn)程指令，危害嚴(yán)重。此外，當(dāng)用戶(hù)卸載“流星加速器”后，上述病毒模塊會(huì)依舊駐留用戶(hù)電腦中，繼續(xù)作惡。

　　通過(guò)進(jìn)一步溯源調(diào)查，火絨工程師發(fā)現(xiàn)“流星加速器”所屬公司旗下存在大量與數(shù)據(jù)爬蟲(chóng)采集、流量代理加速等相關(guān)產(chǎn)品。據(jù)此，不排除該企業(yè)利用上述病毒，控制用戶(hù)電腦并投入商業(yè)使用，從而獲得盈利的可能。

　　附：【分析報(bào)告】

　　一、 詳細(xì)分析

　　最近我們發(fā)現(xiàn)一組具有惡意代理功能(LocalNetwork.exe)及后門(mén)功能(SecurityGuard.exe)的程序模塊。經(jīng)溯源發(fā)現(xiàn)，這兩個(gè)惡意模塊均由流星加速器安裝包所釋放、運(yùn)行，且當(dāng)流星加速器被卸載之后，上述惡意模塊仍然殘留在用戶(hù)電腦中。帶有惡意模塊的流星加速器安裝包是由下載器所靜默推廣，此次涉及到的下載站有中關(guān)村在線(xiàn)(zol.com.cn)等。相關(guān)信息如下圖所示：

　　

 

　　下載器推廣截圖

　　

 

　　軟件安裝包數(shù)字簽名信息

　　

 

　　惡意模塊簽名信息

　　當(dāng)流星加速器被下載器靜默推廣安裝之后，便會(huì)在安裝目錄釋放惡意代理模塊LocalNetwork.exe與后門(mén)模塊SecurityGuard.exe。釋放完成后，LXInstall.exe將創(chuàng)建C:/Program Files/Microsoft App文件夾并將LocalNetwork.exe移動(dòng)到其中，隨后啟動(dòng)LocalNetworkFlowService服務(wù)。同時(shí)LXInstall.exe會(huì)將SecurityGuard.exe移動(dòng)到C:/Windows目錄下并啟動(dòng)執(zhí)行。相關(guān)動(dòng)作如下圖所示：

　　

 

　　執(zhí)行動(dòng)作信息

　　LocalNetwork模塊

　　LocalNetwork.exe會(huì)通過(guò)接收C&C服務(wù)器(58.218.92.196)的代理策略，執(zhí)行代理邏輯轉(zhuǎn)發(fā)服務(wù)器下發(fā)的數(shù)據(jù)流量，在未經(jīng)用戶(hù)允許的情況下占用用戶(hù)的網(wǎng)絡(luò)資源，使用戶(hù)機(jī)器淪為幫助其牟取利益的工具。LocalNetwork.exe作為服務(wù)運(yùn)行之后，首先會(huì)收集用戶(hù)主機(jī)系統(tǒng)信息并將其加密發(fā)送至C&C服務(wù)器(yxjs.diaodu.ssot.net)。隨后C&C服務(wù)器回傳代理通信服務(wù)器的地址信息，相關(guān)代碼如下圖所示：

　　

 

　　獲取主機(jī)相關(guān)信息

　　

 

　　獲取到的主機(jī)信息

　　

 

　　連接C&C服務(wù)器

　　

 

　　獲取到的代理通信服務(wù)器地址

　　當(dāng)?shù)玫酱�理通信服�?wù)器地址之后，LocalNetwork.exe便會(huì)與之連接，獲取所需的代理策略。之后，LocalNetwork.exe根據(jù)下放的代理策略訪問(wèn)目標(biāo)網(wǎng)頁(yè)，若訪問(wèn)成功，則返回目標(biāo)網(wǎng)頁(yè)相關(guān)信息。詳細(xì)的通信流程，如下圖所示：

　　

 

　　通訊流程圖

　　收到的代理策略及數(shù)據(jù)傳輸內(nèi)容，如下圖所示：

　　

 

　　收到的代理策略信息

　　

 

　　數(shù)據(jù)傳輸圖

　　此外，我們還發(fā)現(xiàn)流星加速器主程序(liuxing.exe)會(huì)創(chuàng)建線(xiàn)程每隔2秒就會(huì)檢測(cè)LocalNetwork.exe進(jìn)程是否存在，如果不存在，則會(huì)執(zhí)行其軟件安裝目錄下的LocalNetwork.exe。由于當(dāng)前版本的流星加速器所釋放的LocalNetwork.exe惡意代理模塊已經(jīng)不在其軟件安裝目錄中，上述執(zhí)行邏輯已經(jīng)失效，我們會(huì)對(duì)其主程序模塊的更新進(jìn)行持續(xù)追蹤。相關(guān)邏輯，如下圖所示：

　　

 

　　相關(guān)代碼

　　

 

　　檢測(cè)啟動(dòng)LocalNetwork.exe相關(guān)代碼

　　SecurityGuard模塊

　　SecurityGuard.exe模塊的主要功能就是將自身注冊(cè)為服務(wù)并接收C&C服務(wù)器(api.jm.taolop.com)下發(fā)的后門(mén)命令控制碼來(lái)執(zhí)行不同的后門(mén)功能，如：更新模塊，創(chuàng)建、刪除服務(wù)，運(yùn)行遠(yuǎn)程命令。相關(guān)代碼如下圖所示：

　　

 

　　連接C&C服務(wù)器并接收后門(mén)控制碼

　　

 

　　執(zhí)行后門(mén)功能

　　二、 溯源分析

　　此外，我們根據(jù)惡意模塊的簽名信息“江蘇靈匠信息科技有限公司”發(fā)現(xiàn)其旗下存在大量與數(shù)據(jù)爬蟲(chóng)采集，流量代理加速等有關(guān)產(chǎn)品，相關(guān)信息如下圖所示：

　　

 

　　江蘇靈匠信息科技有限公司旗下部分產(chǎn)品

　　僅以芝麻代理為例，今日活躍的代理IP數(shù)量為200萬(wàn)左右與我們?cè)诨鸾q終端威脅情報(bào)系統(tǒng)中所監(jiān)測(cè)到的該病毒感染數(shù)量較為相近，官網(wǎng)頁(yè)面如下圖所示：

　　

 

　　芝麻代理官網(wǎng)

　　三、 附錄

　　病毒hash

　　

　　推薦閱讀

　　智記科技自主研發(fā)財(cái)務(wù)軟件、進(jìn)銷(xiāo)存系統(tǒng)免費(fèi)使用啦！

　　智記財(cái)務(wù)軟件+進(jìn)銷(xiāo)存軟件，是智記科技旗下自主研發(fā)的一款高效、便捷的線(xiàn)上財(cái)務(wù)記賬+進(jìn)銷(xiāo)存管理的軟件，這是一款免費(fèi)財(cái)務(wù)軟件+免費(fèi)庫(kù)存管理軟件。上線(xiàn)已經(jīng)兩周年了，穩(wěn)定>>>詳細(xì)閱讀

本文標(biāo)題："芝麻軟件""流星加速器"新型網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈揭秘！

地址：http://www.sdlzkt.com/a/11/310151.html

 1/2    1  2 下一頁(yè)