检测父进程是否为桌面进程相关代码,如下图所示:
进程父进程代码
三、 溯源分析
通过我们对下载到病毒的系统之家网站内容进行排查,我们发现类似的带毒激活工具并不只有一个。在该网站的软件总排行列表中,我们暂时发现带毒的激活工具共有两个,且通过百度云盘链接最终下载到的病毒程序也在不断更新,病毒行为也可能不断进行变化。网站软件总排行列表,如下图所示:
软件总排行列表
如上图,红框所示即为带毒的激活工具,两款激活工具排名非常靠前,排名分别在第五位和第六位,以此来诱骗用户进行下载执行。另一款带毒的激活工具最终所释放的恶意驱动(bus3310s.sys)与前文中所述恶意驱动(jus3310s.sys)具有很高的相似性,显然两个病毒样本出自同一病毒作者之手。同源代码,如下图所示:
同源代码
除此之外,通过搜索前文中提到包含跳转脚本的网址域名(hxxp://100ea.com),我们发现该域名还存在一个名为hxxp://win.100ea.com的子域名,该站点名同为"系统之家"。我们在该网站中下载的(hxxp://win.100ea.com/dngs64win10.html)系统盘镜像中也同样发现了同样的病毒样本,而且系统盘中的恶意驱动(yhxmabc.sys)样本哈希与前文中所述样本jus3310s.sys(x64)哈希相同,即该站点中的系统盘也同样包含有相同病毒。该网址页面,如下图所示:
win.100ea.com网站页面
带毒的系统盘下载页面,如下图所示:
带毒系统盘下载页面
样本哈希对比,如下图所示:
样本哈希对比
