激活工具带毒,静默安装360、2345系列软件
软件安装拦截
软件安装拦截
近期发现了一批感染了"小马激活工具"的安全样本。这些样本在感染后会从远程服务器下载非法配置文件,并以隐蔽的方式进行安装运行。这些程序通常会被发布商如"360公司"和"腾讯电脑管家"等提供。值得注意的是,在某些情况下可能会继续发送其他非法配置文件。我们的安全程序能够识别并清除这种威胁;此外,在程序安装过程中采取了防护措施以防止此类事件再次发生。
在百度网络搜索平台进行关键词查询发现,在部分热门搜索结果中排名靠前的三条结果显示存在大量与某种恶意软件相关的下载链接。这一现象进一步表明了该恶意软件开发者企图利用搜索引擎广告系统来大规模扩散其恶意行为。
通过深入溯源此激活工具的网址http://wd9.hmd888.top, 我们发现该域名所属的企业是桂林市木兮网络科技有限公司, 该公司相关的备案记录如下图所示:
详细分析
该程序一旦运行就会从远程服务器上获取恶意配置信息,并引发一系列危害性的操作包括发起网络攻击行为以及触发非法程序运行等。该程序的运行过程如下图所示
Setup_Activator.exe充当初始化模块。该模块由Autoi脚本编译而成,并采用混淆手段以逃避杀毒软件的查杀。相关代码,请参考下图。
通过去模糊处理后发现该模块被识别为包含原始激活工具以及kmsactivation.exe恶意程序,并生成并持续执行任务计划以实现持久化功能。随后将释放出激活工具及恶意程序的相关代码,请参考下图。
为有害进程创建任务计划使其长期存活,并在系统重启时自动执行。相关代码如图所示:
根据系统版本来执行不同的激活工具。相关代码,如下图所示:
位于kmsactivation.exe模块中,在线监控系统会自动采集并存储网络设备的状态数据,并将这些数据定期上传至管理平台进行分析处理
根据恶意配置信息下载、执行任意文件。相关代码,如下图所示:
该模块能识别并筛选出指定的城市区域。为非指定城市区域额外配置了相应的系统防护软件(如腾讯电脑管家)。相关代码,请参考下图。
基于恶意配置数据,在后台默默进行软件推广,并且同时,在指定区域之外的地方还会额外安装一些与之相关的软件(如腾讯电脑管家)。对应的代码逻辑,请参考附图所示。
附录
C&C服务器列表:
病毒HASH:
