網絡資源重汙染:超過20家知名下載站植入Killis木馬

【新朋友】點擊標題下面藍字「黑白之道」關注

【老朋友】點擊右上角，分享或收藏本頁精彩內容

【公眾號】搜索公眾號：黑白之道，或者ID:i77169

Killis木馬傳播：下載站隱蔽推廣

　　下載站遍布暗雷的廣告位誘導早已不是什麼新鮮事了。但試問：即便是如同槍林彈雨中左躲右閃的士兵一樣躲過了所有的「陷阱」，你就安全了麼?

　　答案是否定的，因為Killis木馬的源頭就隱藏在一些知名下載站的真實下載地址中。以國內某大型下載站為例，當用戶點擊一些資源的真實下載地址後，下載回來的首先是一個下載器（http://down10.zol.com.cn/zoldownload/W.P.S.4885.20.2394@81_114617.exe）：

　　

　　這個程序運行後，除了為用戶下載原本需要的資源以外，它同時會向伺服器請求一個推廣列表：

　　

　　Killis木馬就在這時進入電腦。再看帶有Killis木馬推廣行為的下載站列表，只要你在國內下載站下載文件，幾乎無可避免會遇到Killis木馬的侵襲，此木馬背後產業鏈的流量控制能力由此可見一斑：

　　綠茶軟體園

　　http://www.33lc.com

　　http://xiazaiqi2.33lc.com/down/media%20player播放器@133_48306.exe

　　統一下載站

　　http://www.3987.com

　　http://xiazaiqi2.3987.com/down/Adobe%20Flash%20Player%2064位下載%20v19.0.0.162%20官方最新版@135_42151.exe

　　當遊網

　　http://www.3h3.com

　　http://url.3h3.com/down/歐洲卡車模擬2真實中國加油站及油價MOD@132_34852.exe

　　飛翔下載

　　http://www.52z.com

　　http://url.52z.com/down/QQ空間進入權限破解器@13_162077.exe

　　起點下載

　　http://www.cncrk.com

　　http://url.cncrk.com/down/語音自動生成器%20V1.0%20綠色免費版@25_70621.exe

　　星星軟體站

　　http://www.cnd8.com

　　http://url.cnd8.com/down/通達oa2009破解版@128_639.exe 已失效

　　非凡軟體站

　　http://crsky.com

　　http://url.crsky.com/down/fyspw-v7.1@62_29616.exe 已失效

　　多多軟體站

　　http://www.ddooo.com

　　http://url.ddooo.com/down/realtek+pcie+gbe+family+controller%28realtek網卡驅動%29+for+xp-vista-win7最新版@48_53648.exe

　　當下軟體園

　　http://www.downxia.com

　　http://url.downxia.com/down/音頻文件轉換精靈%20V2.0%20官方免費版@34_86930.exe

　　軟體E線下載

　　http://edowning.net

　　http://url.edowning.net/down/愛普生Epson+L1300驅動+for+xp-win7+免費版@16_82695.exe

　　華彩軟體站

　　http://huacolor.com

　　http://url.huacolor.com/down/廣聯達G+工作檯5.2.13.858官方版@35_103052.exe

　　軟體盒子

　　http://itopdog.cn

　　http://url.itopdog.cn/down/天正建築(附註冊機)@69_2692.exe

　　極速下載站

　　http://www.jisuxz.com

　　http://url.jisuxz.com/down/親淘@77_46622.exe

　　未來軟體園

　　http://www.orsoon.com

　　http://url.orsoon.com/down/AIDA64%20Extreme%20Edition(硬體檢測)@24_11647.exe

　　天空下載站

　　http://www.skycn.com

　　http://down10.zol.com.cn/skycndownernew/zuma_20100606@83_965.exe

　　使用ZOL下載伺服器

　　數碼資源網

　　http://www.smzy.com

　　http://url.smzy.com/down/Imatest (數碼影像測試軟體) v3.4 免費版@41_115257.exe

　　玩遊戲網

　　http://www.wanyx.com

　　http://url.52lishi.com/down/紅色警戒2：尤裡的復仇%20無敵修改器(加三星)@54_18387.exe%EF%BC%89@54_18387.exe

　　XP系統之家

　　http://www.xp510.com

　　http://xiazaiqi2.xp510.com/down/優酷客戶端官方下載+v6.0.0.3261+綠色便攜版@136_22757.exe

　　系統天堂

　　http://xpgod.com

　　http://xiazaiqi2.xpgod.com/down/一起作業下載桌面版2015最新版@134_19132.exe

　　中關村在線

　　http://www.zol.com.cn

　　http://down10.zol.com.cn/zoldownload/W.P.S.4885.20.2394@81_114617.exe

　　太平洋下載

　　http://www.pconline.com.cn

　　http://dl-xzq.pconline.com.cn/down/五筆拼音輸入法2015@131_359408.exe

　　華軍軟體園

　　http://www.onlinedown.net

　　http://www.onlinedown.net/api/index2.php?ver=3.9.6&name=SopCast&id=41564&token=ed2ddad5bd3abafe40dde8eb3150e71c

　　KILLIS木馬分析：AV終結者+全功能流氓推廣器

　　Killis木馬偽裝成「傳奇霸業」的端遊客戶端，並利用一些公司洩露的過期籤名，為自己籤發木馬。而這個遊戲客戶端只是個幌子，木馬真正的功能是將用戶計算機做為一個刷量終端，不斷的進行推廣。此木馬可以雲控安裝軟體，安裝插件，放桌面放快捷方式，改桌面快捷方式，改桌面圖標，殺指定進程。Killis作為一個全功能的推廣器隱藏在受害用戶計算機中，並且還有一個殺進程驅動，用來結束多家殺軟的進程，防止木馬推廣被攔截。

　　木馬原始包：629c04c150ef632b098fe65cf3ff3b60

　　

　　木馬驅動，帶有一個過期的籤名：4f504c748025aa34d9c96d0e7f735004

　　Xuanyi Electronic (Shanghai) Co., Ltd.

　　

　　被這個木馬利用的籤名列表：

Open Source Developer, 東莞市邁強電子科技有限公司Luca MarconeBaoji zhihengtaiye co.,ltdJiangsu innovation safety assessment Co., Ltd.Wemade Entertainment co.,LtdBeijing Chunbai Technology Development Co., LtdFuqing Yuntan Network Tech Co.,Ltd.Guangzhou Kingteller Technology Co.,Ltd.Shenzhen Liantian Technology Co., LtdXuanyi Electronic (Shanghai) Co., Ltd.

　　用來做偽裝的遊戲安裝包：

　　

　　木馬功能分析：驅動部分，是一個名為KILLIS的設備，用來負責查殺進程操作：

　　

　　驅動打開進程與結束進程：

　

　　驅動pid查找結束進程：

　

　　

　　Ring3部分，是一個下載推廣器，內置了一批推廣列表，通過Base64編碼：

　　

　　解碼後發現的木馬推廣列表：

　　

　

　　木馬的雲控打點信息，收集客戶端的mac地址，系統信息等提交雲端，雲端下發推廣列表給木馬推廣執行：

　

　　木馬檢查殺軟進程，包括360、騰訊和金山的軟體進程：

　　

　　

　

　　木馬註冊插件：

　　

　　木馬創建服務，並向設備發送消息：

　　

　　安全建議

　　針對國內眾多下載站遭Killis木馬汙染的情況，360安全中心已將此情況進行通報，提醒各網站加強對推廣資源的審核和管控，以免對用戶造成損失。同時360安全產品也會對下載網站推廣木馬的行為進行風險提示。

　　針對廣大網友，建議儘量選擇安全可靠的渠道進行下載。如果發現電腦自動安裝了不請自來的軟體，應及時全盤掃描殺毒，以防系統殘留木馬，對帳號和數據安全造成更嚴重的風險。

----
要聞、乾貨、原創、專業
關注「黑白之道」 微信：i77169
華夏黑客同盟我們堅持，自由，免費，共享！