網絡資源重汙染:超過20家知名下載站植入Killis木馬
Xcode編譯器引發的蘋果病毒大爆發事件還未平息,又一起嚴重的網絡資源帶毒事故出現在PC互聯網上。這是一個名爲Killis(殺是)的驅動級木馬,該木馬覆蓋國內二十余家知名下載站,通過各大下載站的下載器或各種熱門資源傳播,具有雲控下發木馬、帶有數字簽名、全功能流氓推廣、破壞殺毒軟件等特點。根據360安全衛士監測,最近10小時內,Killis木馬已經攻擊了50多萬台電腦。
Killis木馬傳播:下載站隱蔽推廣
下載站遍布暗雷的廣告位誘導早已不是什麽新鮮事了。但試問:即便是如同槍林彈雨中左躲右閃的士兵一樣躲過了所有的“陷阱”,你就安全了麽?
答案是否定的,因爲Killis木馬的源頭就隱藏在一些知名下載站的真實下載地址中。以國內某大型下載站爲例,當用戶點擊一些資源的真實下載地址後,下載回來的首先是一個下載器(http://down10.zol.com.cn/zoldownload/[email protected]_114617.exe):
這個程序運行後,除了爲用戶下載原本需要的資源以外,它同時會向服務器請求一個推廣列表:
Killis木馬就在這時進入電腦。再看帶有Killis木馬推廣行爲的下載站列表,只要你在國內下載站下載文件,幾乎無可避免會遇到Killis木馬的侵襲,此木馬背後産業鏈的流量控制能力由此可見一斑:
綠茶軟件園
http://www.33lc.com
http://xiazaiqi2.33lc.com/down/media%20player播放器@133_48306.exe
統一下載站
http://www.3987.com
http://xiazaiqi2.3987.com/down/Adobe%20Flash%20Player%2064位下載%20v19.0.0.162%20官方最新版@135_42151.exe
當遊網
http://www.3h3.com
http://url.3h3.com/down/歐洲卡車模擬2真實中國加油站及油價[email protected]_34852.exe
飛翔下載
http://www.52z.com
http://url.52z.com/down/QQ空間進入權限破解器@13_162077.exe
起點下載
http://www.cncrk.com
http://url.cncrk.com/down/語音自動生成器%20V1.0%20綠色免費版@25_70621.exe
星星軟件站
http://www.cnd8.com
http://url.cnd8.com/down/通達oa2009破解版@128_639.exe 已失效
非凡軟件站
http://crsky.com
http://url.crsky.com/down/[email protected]_29616.exe 已失效
多多軟件站
http://www.ddooo.com
http://url.ddooo.com/down/realtek+pcie+gbe+family+controller%28realtek網卡驅動%29+for+xp-vista-win7最新版@48_53648.exe
當下軟件園
http://www.downxia.com
http://url.downxia.com/down/音頻文件轉換精靈%20V2.0%20官方免費版@34_86930.exe
軟件E線下載
http://edowning.net
http://url.edowning.net/down/愛普生Epson+L1300驅動+for+xp-win7+免費版@16_82695.exe
華彩軟件站
http://huacolor.com
http://url.huacolor.com/down/廣聯達G+工作台5.2.13.858官方版@35_103052.exe
軟件盒子
http://itopdog.cn
http://url.itopdog.cn/down/天正建築(附注冊機)@69_2692.exe
極速下載站
http://www.jisuxz.com
http://url.jisuxz.com/down/親淘@77_46622.exe
未來軟件園
http://www.orsoon.com
http://url.orsoon.com/down/AIDA64%20Extreme%20Edition(硬件檢測)@24_11647.exe
天空下載站
http://www.skycn.com
http://down10.zol.com.cn/skycndownernew/[email protected]_965.exe
使用ZOL下載服務器
數碼資源網
http://www.smzy.com
http://url.smzy.com/down/Imatest (數碼影像測試軟件) v3.4 免費版@41_115257.exe
玩遊戲網
http://www.wanyx.com
http://url.52lishi.com/down/紅色警戒2:尤裏的複仇%20無敵修改器(加三星)@54_18387.exe%EF%BC%[email protected]_18387.exe
XP系統之家
http://www.xp510.com
http://xiazaiqi2.xp510.com/down/優酷客戶端官方下載+v6.0.0.3261+綠色便攜版@136_22757.exe
系統天堂
http://xpgod.com
http://xiazaiqi2.xpgod.com/down/一起作業下載桌面版2015最新版@134_19132.exe
中關村在線
http://www.zol.com.cn
http://down10.zol.com.cn/zoldownload/[email protected]_114617.exe
太平洋下載
http://www.pconline.com.cn
http://dl-xzq.pconline.com.cn/down/五筆拼音輸入法[email protected]_359408.exe
華軍軟件園
http://www.onlinedown.net
http://www.onlinedown.net/api/index2.php?ver=3.9.6&name=SopCast&id=41564&token=ed2ddad5bd3abafe40dde8eb3150e71c
KILLIS木馬分析:AV終結者+全功能流氓推廣器
Killis木馬僞裝成“傳奇霸業”的端遊客戶端,並利用一些公司泄露的過期簽名,爲自己簽發木馬。而這個遊戲客戶端只是個幌子,木馬真正的功能是將用戶計算機做爲一個刷量終端,不斷的進行推廣。此木馬可以雲控安裝軟件,安裝插件,放桌面放快捷方式,改桌面快捷方式,改桌面圖標,殺指定進程。Killis作爲一個全功能的推廣器隱藏在受害用戶計算機中,並且還有一個殺進程驅動,用來結束多家殺軟的進程,防止木馬推廣被攔截。
木馬原始包:629c04c150ef632b098fe65cf3ff3b60
木馬驅動,帶有一個過期的簽名:4f504c748025aa34d9c96d0e7f735004
Xuanyi Electronic (Shanghai) Co., Ltd.
被這個木馬利用的簽名列表:
Open Source Developer, 東莞市邁強電子科技有限公司
Luca Marcone
Baoji zhihengtaiye co.,ltd
Jiangsu innovation safety assessment Co., Ltd.
Wemade Entertainment co.,Ltd
Beijing Chunbai Technology Development Co., Ltd
Fuqing Yuntan Network Tech Co.,Ltd.
Guangzhou Kingteller Technology Co.,Ltd.
Shenzhen Liantian Technology Co., Ltd
Xuanyi Electronic (Shanghai) Co., Ltd.
用來做僞裝的遊戲安裝包:
木馬功能分析:驅動部分,是一個名爲KILLIS的設備,用來負責查殺進程操作:
驅動打開進程與結束進程:
驅動pid查找結束進程:
Ring3部分,是一個下載推廣器,內置了一批推廣列表,通過Base64編碼:
解碼後發現的木馬推廣列表:
木馬的雲控打點信息,收集客戶端的mac地址,系統信息等提交雲端,雲端下發推廣列表給木馬推廣執行:
木馬檢查殺軟進程,包括360、騰訊和金山的軟件進程:
木馬注冊插件:
木馬創建服務,並向設備發送消息:
安全建議
針對國內衆多下載站遭Killis木馬汙染的情況,360安全中心已將此情況進行通報,提醒各網站加強對推廣資源的審核和管控,以免對用戶造成損失。同時360安全産品也會對下載網站推廣木馬的行爲進行風險提示。
針對廣大網友,建議盡量選擇安全可靠的渠道進行下載。如果發現電腦自動安裝了不請自來的軟件,應及時全盤掃描殺毒,以防系統殘留木馬,對賬號和數據安全造成更嚴重的風險。