四、 延伸样本分析
火绒近期发现,利用激活工具和系统盘进行传播的病毒和流氓软件有逐渐增多趋势,此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。此前在火绒发布的报告《"小马激活"病毒新变种分析报告》和《盗版用户面临的"APT攻击"风险》中,也对利用这两种方式进行传播的病毒样本进行过详细分析。除了上述样本外,火绒近期还截获了另一款利用系统盘途径进行传播流氓软件,该流氓软件会利用一键装机工具下载带有流氓软件系统镜像的方式进行传播。
现象
本次火绒截获到的流氓软件名为"主页守护神",会通过一款名为"云骑士装机大师"的一键装机工具下载带有流氓软件系统镜像,之后在本地对系统镜像进行安装从而达到传播目的。流氓软件运行后,除了首页锁定功能外还具有软件推送的功能,将来可能用于进行软件推广或者广告程序推广。经过火绒对"云骑士装机大师"软件的溯源分析,我们发现传播该流氓软件的一键装机工具数量众多。如下图所示:
传播该流氓软件的装机工具及官网网址
上述一键装机工具官网页面,如下图所示:
云骑士装机大师官网
上述装机工具在下载系统镜像时,会在同一服务器地址(hxxp://hsds.ruanjiandown.com)下载相同的gho文件至本地进行安装。在该系统镜像中,除了会预装流氓软件外,还会预装安全软件(360安全套装和QQ管家安全套装),由于这两款安全软件并不会检测该流氓软件,所以通过该装机工具安装系统的用户通常并不会知道系统已经被植入了流氓软件。"安全套装"选择窗口,如下图所示:
"安全套装"选择窗口
系统安装完成后,"主页守护神"会被安装到系统中的Program Files\PageGuard目录下。该流氓软件表面上的软件功能为主页保护,但在其软件代码中还包含有软件推送的相关代码逻辑。但截至到报告发布前,软件推送的相关配置暂时尚未设置软件推送数据,但不排除该流氓软件将来借助软件推送功能进行软件静默推广或广告程序推送的可能性。在双击运行该软件的主程序时,会弹出首页及默认浏览器的设置界面,但是该软件的自启动项中被设置了隐藏执行参数,自启运行时不会显示软件界面。软件界面,如下图所示:
"主页守护神"软件界面
该软件的启动项注册表,如下图所示:
启动项
该软件被安装后不会创建桌面快捷方式,在系统控制面板中也无法找到该软件的卸载项。该软件以隐藏方式启动后,如果运行软件推送逻辑,用户将很难对其软件推送行为有所察觉。
详细分析
在该软件安装目录中,存放有首页锁定功能的相关配置。配置信息,如下图所示:
劫持配置
