小馬已變壞,「小馬激活」病毒分析,你在用小馬激活嗎?小心了

一、概述

隨著安全軟體與病毒之間攻防對抗的不斷白熱化，病毒的更新換代也日益頻繁，其所使用的手段也日趨多樣化。以最近大範圍流行的「小馬激活」病毒為例，其傳播至今，據火絨發現的樣本中已經演變出了五個變種。「小馬激活」病毒，我們之前稱其為「蘇拉克」病毒，因為其核心驅動名為「surak.sys」故得此名，但是隨著其不斷地改變與安全軟體的對抗方式，「蘇拉克」這個名字已經不被病毒作者使用，所以我們將其統稱為「小馬激活」病毒。

「小馬激活」病毒的第一變種只是單純地在瀏覽器快捷方式後面添加網址參數和修改瀏覽器首頁的註冊表項，以達到首頁劫持的目的。由於安全軟體的查殺和首頁保護功能，該版本並沒有長時間流行太長時間。其第二變種，在原有基礎上增強了與安全軟體的對抗能力。由於其作為「系統激活工具」具有入場時間較早的優勢，使用驅動與安全軟體進行主動對抗，使安全軟體無法正常運行。在其第三個變種中，其加入了文件保護和註冊表保護，不但增加了病毒受害者自救的難度，還使得反病毒工程師在處理用戶現場時無法在短時間之內發現病毒文件和病毒相關的註冊表項。其第四個變種中，利用WMI中的永久事件消費者（ActiveScriptEventConsumer）註冊惡意腳本，利用定時器觸發事件每隔一段時間就會執行一段VBS腳本，該腳本執行之後會在瀏覽器快捷方式後面添加網址參數。該變種在感染計算機後，不會在計算機中產生任何文件，使得病毒分析人員很難發現病毒行為的來源，大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發展過程：

主要傳播時間 病毒行為 對抗方式 第一代 2015年9月至2015年12月 · 流量劫持：1) 修改瀏覽器快捷方式 · 無 第二代 2015年12月至2016年2月 · 進程入侵1) 將病毒動態庫注入explorer.exe進程· 流量劫持1) 修改瀏覽器快捷方式2) 通過驅動劫持首頁 · 禁止安全軟體加載驅動 第三代 2016年2月至2016年3月 · 進程入侵1) 將病毒動態庫注入explorer.exe進程· 流量劫持1) 修改瀏覽器快捷方式2) 通過驅動劫持首頁 · 禁止安全軟體加載驅動· 隨機驅動名· 文件保護· 註冊表保護 第四代 2016年3月至2016年4月 · 流量劫持：1) 利用WMI腳本，定時修改瀏覽器快捷方式 · 病毒行為在WMI腳本進行，本地無其病毒文件 第五代 2016年4月至今 · 進程入侵1) 將病毒動態庫注入explorer.exe進程· 流量劫持1) 修改瀏覽器快捷方式2) 通過注入explorer.exe中的動態庫劫持瀏覽器首頁3) 修改註冊表鎖定瀏覽器首頁 · 每次重啟後重新生成隨機驅動名· 文件保護· 註冊表保護

表1、「小馬激活」病毒發展過程

通過我們近期接到的用戶反饋，我們發現了「小馬激活」病毒的新變種。該變種所運用的對抗技術十分複雜，進一步增加了安全軟體對其有效處理的難度，甚至使得病毒分析人員通過遠程協助處理用戶現場變得更困難。這個「小馬激活」病毒的最新變種運行界面如下：

圖1、 「小馬激活」新變種運行界面

二、樣本分析

該病毒釋放的驅動文件通過VMProtect加殼，並通過過濾驅動的方式攔截文件系統操作（圖2），其目的是保護其釋放的動態庫文件無法被刪除。通過文件系統過濾驅動，使得系統中的其他進程在打開該驅動文件句柄時獲得卻是tcpip.sys文件的句柄，如果強行刪除該驅動文件則會變為刪除tcpip.sys文件，造成系統無法正常連接網絡。我們通過下圖可以看到火絨劍在查看文件信息時，讀取的其實是tcpip.sys文件的文件信息。由於此功能，使得病毒分析人員無法在系統中正常獲取該驅動的樣本。

圖2、文件驅動鉤子和關機通知

該驅動通過註冊關機回調（圖2）在系統關機時該驅動會將自身在%SystemRoot%\System32\Drivers目錄重新拷貝成隨機名字的新驅動文件，並將驅動信息寫入註冊表，以便於下一次時啟動加載。在驅動加載之後，其會將locc.dll注入到explorer.exe進程中。該驅動對locc.dll文件也進行了保護，當試圖修改或者刪除該動態庫時，會彈出錯誤提示「文件過大」。如圖3所示：

圖3、文件驅動鉤子和關機通知

當病毒的驅動將locc.dll注入到explorer.exe進程後會執行首頁劫持相關邏輯。通過火絨劍的內存轉儲，我們可以看到該病毒鎖定的所有網址。

通過抓取上述網址中的網頁信息（圖4），我們可以發現上述網址中存放的其實是一個跳轉頁。通過使用跳轉頁面，病毒作者可以靈活調整計費連結和推廣網址，並且對來自不同瀏覽器的流量進行分類統計。

圖4、網頁內容

三、信息追蹤

通過測試我們現有的最新該病毒樣本，我們發現該病毒不但推廣了國內的一些導航站和電商門戶網站（圖5），還推廣了仿冒的小馬激活網站（www.xiaomajihuo.net）用來進一步傳播病毒。其推廣網址如下：

圖5、病毒推廣效果圖

仿冒的小馬激活網站訪問效果如下：

圖6、網址訪問效果圖

病毒下載地址為百度雲盤下載連結，如下圖所示：

圖7、百度雲盤連結訪問效果圖

通過反查仿冒的「小馬激活」官網（xiaomajihuo.net）域名，我們找到了其域名註冊時使用的郵箱[url=mailto:—vo******o@enamewhois.com]—vo******o@enamewhois.com[/url]。通過該郵箱，我們找到了所有使用該郵箱註冊的域名信息。如下圖所示：

圖8、使用vo******o@enamewhois.com郵箱註冊的域名關係圖

通過訪問上述關係圖中的域名，我們發現：

該「病毒推廣公司」利用「小馬激活」病毒進行推廣，利用多個仿冒小馬激活官網在網際網路中進行傳播。

6位數字加「.com」結尾的域名（下文稱數字域名）中用來架設其首頁劫持要用到的跳轉頁面。

由於我們通過「xiaomajihuo.net」域名可以獲取的信息比較有限，我們對關係網中（上圖所示）的「xiaomajihuo.cn」域名進行了反查。我們發現有超過50個域名指向這一IP位址，如下圖所示：

圖9、同一IP下的域名列表

觀察這些域名，很容易發現有多個域名帶有「xiaomajihuo」的字樣。在這些域名中，還有很多XM開頭的域名，我們猜測其本意應為「小馬」的拼音縮寫。在對其關聯網址進行訪問時我們發現：

帶有「xiaomajihuo」字樣的網址全部都是仿冒的「小馬激活」官網，其網頁樣式與前文提到的「www.xiaomajihuo.net」樣式相同。

XM開頭的所有網址都為該病毒的下載頁面，其網頁樣式模仿了當前的主流下載站，具有很強的迷惑性（圖10）。

圖10、網頁訪問效果圖

在網址www.ydjph.com和www.yrdqm.com中，我們發現雖然頁面樣式相同，下載文件名為「win7 activation v1.8」，根據我們的分析，該樣本也同為該病毒，其下載地址也為百度雲盤連結，連結地址為「pan.baidu.com/s/1o79KKII」。

在域名列表中的其他域名，雖然看上去名字隨機性很強，但是我們通過訪問其頁面後發現如下網址為該「病毒生產廠商」的業務推廣站：

就在正在完成這份文檔的同時，最後兩個域名內容已經變為了類似圖10的病毒下載頁面。

根據工商局企業查詢系統和搜尋引擎的查詢結果，上述網址中出現的公司經營範圍均為傳統行業，且均有正規官網。所以上述網址中出現的公司名為盜用（圖11），用來擾亂人們視線。其公司服務項目中涵蓋了廣告推廣、網頁製作、軟體開發和技術支持（圖12），這與「小馬激活」病毒的首頁劫持推廣功能相吻合，即該病毒就是該「病毒推廣公司」的廣告推廣工具之一。如下圖所示：

圖11、其盜用的公司名

圖12、「病毒推廣公司」的業務推廣站

在同一IP下還有兩個軟體推廣網址，分別推廣QQ瀏覽器（圖13）和2345瀏覽器（圖14），其推廣域名如下。

軟體推廣網址如下圖所示：

圖13、該IP下的QQ瀏覽器推廣網址

圖14、該IP下的QQ瀏覽器推廣網址

我們進一步查詢了「xiaomajihuo.com.cn」域名信息的相互聯繫（圖15），我們不難發現與該域名相關的大部分仿冒的小馬激活網站都是使用[url=mailto:「as*****0@qq.com]「as*****0@qq.com[/url]」這個QQ郵箱進行註冊。通過對其QQ郵箱的查詢，我們定位到了該病毒作者的QQ號碼為133*****7，名叫「葉*」。

圖15、xiaomajihuo.com.cn域名信息聯繫圖

樣本在執行過程中還訪問了網址「tongji.227237.com」,通過訪問該網址我們了解到在該域名所在伺服器中架設著一套「推廣流量監控系統」（圖16），所有其推廣的流量都會先經過該站，以用於其查看推廣效果。

圖16、該病毒的流量統計系統

根據這些線索，我們理清了該「惡意推廣」業務的主要流程。其首先製作系統激活工具作為其「惡意推廣工具」，之後再通過百度推廣等推廣方式進行大範圍擴散，在用戶運行這些程序之後，將用戶首頁劫持為數字域名，在該域名下的網頁中加入跳轉網址和付費連結，最終以推廣網際網路公司的產品或主頁進行謀利。

為了躲避安全軟體的網址攔截，其申請的數字域名變動非常頻繁，大部分數字域名已經無法訪問，現在依然可以存活的跳轉站除了上文中提到的「227237.com」還有「827837.com」和「107117.com」，他們分別是「愛淘寶」和「搜狗網址導航」的推廣連結，如下圖所示：

圖17、827837.com下跳轉頁內容

圖18、827837.com推廣「愛淘寶」效果圖

圖19、107117.com下跳轉頁內容

圖20、107117.com推廣「搜狗網址導航」效果圖

通過上述信息，我們可以清楚看到，絕大部分推廣的網址都來自於國內的大型網際網路企業，阿里巴巴、京東商城這種超大型網絡公司甚至也在其中之列。由於當今國內網際網路企業之間的競爭日益激烈，國內的大型網際網路公司為了推廣自己的產品更是可以「豪擲千金」，這一現象極大地刺激了「廣告推廣公司」的迅速壯大，其推廣手段也不斷翻新，更有甚者製作病毒進行廣告推廣，使得國內的網際網路大環境中廣告類病毒（Adware）的種類與傳播範圍在短時間之內迅速增加。普通用戶在使用計算機時只要 「稍有疏忽」就會被捆綁上許多自己本不需要的應用，或者是首頁被隨意修改、瀏覽網頁時被加上廣告。廣大用戶深受其害，但是某些軟體廠商不但沒有加大推廣商的審查力度，反而為了提高推廣「成功率」提高了其軟體的 「卸載難度」，使用戶更加苦不堪言。我們從而可以得出結論，廣告推廣商與「病毒生產廠商」之間存在很大的交集， 這些「病毒推廣公司」的推廣業務主要服務於國內的主流網際網路企業並不斷地從中謀取暴利。利用這種盈利模式，「病毒推廣公司」可以不斷推動其黑色鏈條的運轉，對網際網路行業的健康發展造成十分惡劣的影響。

最後，我們在工信部的《ICP/IP位址/域名信息備案管理系統》上找到了與「vo******o@enamewhois.com」郵箱相關網站的ICP備案信息，我們以域名備案時間為主軸，梳理出了其「病毒推廣公司」的主要成員信息及關鍵運營過程。

2015年7月13日，葛**首先備案了網站域名「301311.com」和上文中提到的「愛淘寶」推廣網址「827837.com」 （圖21）。「301311.com」域名的「go」目錄下存放著眾多被推廣的網址跳轉頁。這與該類型第一個變種出現的時間基本吻合。

圖21、葛**備案的網站信息

2015年9月21日，殷**備案了網站域名「ujisu.com」和「231238.com」（圖22）。前者為「U盤極速啟動」官網，該工具可用於製作U盤啟動盤。火絨希望廣大用戶在使用作業系統或者軟體時可以支持正版，謹慎對待此類工具。與後者同時備案的同一類型域名還有很多，但都已無法訪問。

圖22、殷**備案的網站信息

2015年12月9日，楊**使用「上海******有限公司」的公司名備案了域名「xiaomajihuo.com」和「227237.com」（圖23）。前者為仿冒的小馬激活官網，該網址現在已無法訪問，後者域名架設著其 「推廣流量監控系統」，所以初步推斷其可能為該「病毒推廣公司」的主要成員。

圖23、楊**備案的網站信息

由於2016年初，國內很多安全廠商對「小馬激活」進行了全面查殺，其域名也被很多安全軟體攔截。所以在2016年1月13日至20日，張**、葉*、陳*等人備案了如下五個域名用於架設仿冒的小馬激活官網（圖24）。其域名開放時間有很強的隨機性，所以當安全廠商認為其域名已經廢棄，並將攔截記錄「優化」掉的時候，其域名很有可能會再次「復活」。

xiaomajihuo.org

圖24、2016年1月13日至20日註冊的假小馬激活域名

2016年3月20日，楊**在有關部門備案了域名「wanmeijihuo.com」（圖25）。至今為止，該域名並未啟用，但根據備案時間我們初步推斷，該域名很有可能為其下一「惡意推廣產品」的主要傳播渠道。針對該情況，火絨已經針對其域名進行了提前攔截。

圖25、「wangmeijihuo.com」域名備案信息

為徹底查明事實真相，我們瀏覽了小馬激活所謂的官方網站（www.pccppc.com），當進入其官網時頁面最上方彈出了其「嚴正聲明」，在其小馬激活的下載專區我們發現其停止更新的公告。頁面中還給出了其官方QQ群號，提示信息中寫著「小馬工具箱V1.01版已經發布」字樣。如下圖：

圖26、「小馬激活官網」訪問效果圖

我們嘗試加入該群，我們發現其群共享文件中並沒有其所謂的「小馬工具箱」，而是有兩個最近一個月左右上傳的「小馬激活工具」，其文件上傳者就是其QQ群的創建者（圖27-28），也就是其所謂「小馬官方人士」上傳。

圖27、小馬激活官方QQ群文件共享展示圖

圖28、群成員展示圖

在下載時，我們發現文件剛剛落地就被火絨的下載掃描報毒（圖29）。經過我們進一步分析，其樣本正是我們在概述中所提到的「小馬激活」病毒的第四類變種。這些證據指明，原「小馬激活工具」的製作團隊可能與該病毒運作團隊之間存在著直接關係。

圖29、火絨下載掃描效果圖

我們通過上述所有跟蹤分析，推斷了該「病毒推廣公司」的運作體系和業務結構。如下圖所示：

圖30、「病毒推廣公司」的運作體系和業務結構圖

該「病毒推廣公司」涉及到「白、灰、黑」三個領域的業務。

「白」：軟體推廣業務，主要通過吸引用戶流量到其推廣頁面的方式幫助大型網際網路企業進行廣告推廣，已知推廣對象包括QQ瀏覽器和2345瀏覽器等；

「灰」 ：網際網路行業內的灰色地帶，包括「U盤極速啟動」和「小馬激活工具」。由於國內網際網路大環境對於版權的審查力度並不是十分嚴格，使得該類產品在市場中盛行，用戶對該類產品也產生了依賴性；

「黑」 ：與病毒相關的「黑色產業」，該公司製作「小馬激活」病毒進行流量劫持，利用用戶對盜版系統激活這一剛需，藉助搜尋引擎優化及早期「口碑營銷」，在網際網路中大範圍傳播；

四、綜述

隨著國內網際網路企業之間的競爭進入白熱化，產品推廣作為最接近市場的最後環節成為各大軟體廠商用來競爭的眾矢之的。國內的各個網際網路公司不惜一切代價地向市場推廣自己的軟體產品，由於受到利益驅使軟體推廣商在推廣力度上不斷加大，最終跨過網絡安全的紅線，製作病毒推廣工具進行廣告推廣。作為收益方，被推廣的網際網路企業也並沒有在發現這一現象後及時制止，而是繼續為這些「病毒推廣廠商」所提供的服務買單，促使了整個黑色產業鏈條的形成。

對於「小馬激活」病毒，在國內安全廠商開始對其進行全面查殺時，其賊喊抓賊、監守自盜，使很多用戶甚至安全廠商都蒙在鼓裡。其利用用戶的長期信任與用戶對於系統激活工具的麻痺大意，使得該病毒在短時間之內大範圍傳播。其使用十分惡劣的手段進行廣告推廣，嚴重影響了用戶對計算機的正常使用，甚至對網際網路行業的發展造成了不良影響。放眼中國網際網路市場，「小馬激活」病毒也只是 「病毒推廣」黑色產業鏈中的一個縮影，類似於「小馬激活」病毒製作團體的「病毒推廣廠商」還有很多。究其本質，監管力度不足和被推廣的網際網路企業對於推廣手段的放任、不作為才是造成「病毒推廣廠商」肆意妄為的主要原因。