根據「火絨威脅情報系統」監測,火絨安全團隊發現一款名為「流星加速器」的軟體,正通過各大下載站下載器進行靜默推廣傳播,且攜帶惡意代理模塊和後門模塊。用戶運行該軟體後,就會激活這些病毒模塊。病毒可以控制用戶電腦,執行任意命令。
由於「流星加速器」用戶數量較多,致使病毒影響的範圍較大,目前已感染上百萬用戶,且感染量還在以單日超過10萬的數量增長,請廣大用戶小心防範。火絨安全軟體最新版可及時攔截、查殺上述病毒模塊,且不會損壞軟體的正常功能,請用戶放心使用。
根據火絨工程師分析,「流星加速器」運行後會釋放兩個病毒模塊,其中一個具備惡意代理功能,可控制用戶電腦作為流量跳板;另一個模塊具備後門功能,可執行任意遠程指令,危害嚴重。此外,當用戶卸載「流星加速器」後,上述病毒模塊會依舊駐留用戶電腦中,繼續作惡。
通過進一步溯源調查,火絨工程師發現「流星加速器」所屬公司旗下存在大量與數據爬蟲採集、流量代理加速等相關產品。據此,不排除該企業利用上述病毒,控制用戶電腦並投入商業使用,從而獲得盈利的可能。
附:【分析報告】
一、 詳細分析
最近我們發現一組具有惡意代理功能(LocalNetwork.exe)及後門功能(SecurityGuard.exe)的程序模塊。經溯源發現,這兩個惡意模塊均由流星加速器安裝包所釋放、運行,且當流星加速器被卸載之後,上述惡意模塊仍然殘留在用戶電腦中。帶有惡意模塊的流星加速器安裝包是由下載器所靜默推廣,此次涉及到的下載站有中關村在線等。相關信息如下圖所示:
下載器推廣截圖
軟體安裝包數字籤名信息
惡意模塊籤名信息
當流星加速器被下載器靜默推廣安裝之後,便會在安裝目錄釋放惡意代理模塊LocalNetwork.exe與後門模塊SecurityGuard.exe。釋放完成後,LXInstall.exe將創建C:/Program Files/Microsoft App文件夾並將LocalNetwork.exe移動到其中,隨後啟動LocalNetworkFlowService服務。同時LXInstall.exe會將SecurityGuard.exe移動到C:/Windows目錄下並啟動執行。相關動作如下圖所示:
執行動作信息
LocalNetwork模塊
LocalNetwork.exe會通過接收C&C伺服器(58.218.92.196)的代理策略,執行代理邏輯轉發伺服器下發的數據流量,在未經用戶允許的情況下佔用用戶的網絡資源,使用戶機器淪為幫助其牟取利益的工具。LocalNetwork.exe作為服務運行之後,首先會收集用戶主機系統信息並將其加密發送至C&C伺服器。隨後C&C伺服器回傳代理通信伺服器的地址信息,相關代碼如下圖所示:
獲取主機相關信息
獲取到的主機信息
連接C&C伺服器
獲取到的代理通信伺服器地址
當得到代理通信伺服器地址之後,LocalNetwork.exe便會與之連接,獲取所需的代理策略。之後,LocalNetwork.exe根據下放的代理策略訪問目標網頁,若訪問成功,則返回目標網頁相關信息。詳細的通信流程,如下圖所示:
通訊流程圖
收到的代理策略及數據傳輸內容,如下圖所示:
收到的代理策略信息
數據傳輸圖
此外,我們還發現流星加速器主程序(liuxing.exe)會創建線程每隔2秒就會檢測LocalNetwork.exe進程是否存在,如果不存在,則會執行其軟體安裝目錄下的LocalNetwork.exe。由於當前版本的流星加速器所釋放的LocalNetwork.exe惡意代理模塊已經不在其軟體安裝目錄中,上述執行邏輯已經失效,我們會對其主程序模塊的更新進行持續追蹤。相關邏輯,如下圖所示:
相關代碼
檢測啟動LocalNetwork.exe相關代碼
SecurityGuard模塊
SecurityGuard.exe模塊的主要功能就是將自身註冊為服務並接收C&C伺服器(api.jm.taolop.com)下發的後門命令控制碼來執行不同的後門功能,如:更新模塊,創建、刪除服務,運行遠程命令。相關代碼如下圖所示:
連接C&C伺服器並接收後門控制碼
執行後門功能
二、 溯源分析
此外,我們根據惡意模塊的籤名信息「江蘇靈匠信息科技有限公司」發現其旗下存在大量與數據爬蟲採集,流量代理加速等有關產品,相關信息如下圖所示:
江蘇靈匠信息科技有限公司旗下部分產品
僅以芝麻代理為例,今日活躍的代理IP數量為200萬左右與我們在火絨終端威脅情報系統中所監測到的該病毒感染數量較為相近,官網頁面如下圖所示:
芝麻代理官網
三、 附錄
病毒hash