新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万

QQ号多会涉及赌博、淫秽、诈骗、高利贷等内容，病毒会利用技术手段强行推广，并借助下载站的高速下载器迅速扩大病毒影响范围。由于病毒操作信息较为敏感，报告中已经对相关内容进行了删减。被强行添加的好友如下图所示：被强行添加的QQ好友病毒运行后，首先会通过类名”5B38xxxx-xxxx-xxxx-xxxx-xxxx8CA3E942″搜索窗体。上述类名窗体是由QQ创建，窗口内容中存放有当前登录的QQ号。相关代码如下图所示：获取当前登录QQ号在获取到QQ进程PID后，通过代码搜索的方式找到QQ与主界面相关的关键函数，将函数入口代码改为return。通过上述操作，屏蔽用户对QQ主界面的操作，比如打开好友聊天窗口。相关代码如下图所示：搜索QQ界面关键函数屏蔽QQ主界面操作之后，病毒会从远程C&C服务器（hxxp://69.30.244.10/txt/yqh.txt）获取到进行欲强行推广的QQ号。如下图所示：请求推广QQ号使用当前登录QQ号和远程获取到的推广QQ号构造tencent://链接，链接被访问后QQ会弹出添加好友界面，之后通过搜索添加好友窗体模拟用户点击的方式强行添加QQ好友。相关代码如下图所示：强行添加QQ好友利用QQ快速登录获取到的当前用户uin、skey和token，登录http://qun.qzone.qq.com获取群数据，向http://qun.qq.com发送添加群成员数据，强行添加群成员。相关代码如下图所示：强行添加群成员4.QQ空间推广病毒与QQ好友推广类似，病毒首先会在本地获取到当前登录QQ的本地登录信息，之后登录QQ空间转发从远程C&C服务器获取到的QQ空间动态。用户中毒后，QQ空间会强制转发病毒作者设置空间动态，并会在转发同时加入评论。以下图为例，病毒会强制转发小额贷款内容，转发评论为”过个好年就靠这个了”，以达到其恶意推广目的。如下图所示：被推广的QQ空间动态病毒首先会访问QQ快速登录网址（https://xui.ptlogin2.qq.com），之后使用Java脚本调用QQ登录COM接口，获取当前登录用户的QQ号、昵称和ClientKey（由于代码涉及敏感操作，此处不对相关代码进行展示说明）。利用获取到的QQ登录信息登录QQ空间，根据从远程C&C服务器（hxxp://204.12.196.42:81/home/index/number?id=xxx.js，”x”代表任意数字）获取到的数据转发空间动态。获取到的数据，如下图所示：远程获取到的推广数据如上图数据，数据分为三个部分，分别为QQ空间动态的tid、动态所属QQ号和转发时使用的评论。相关代码如下图所示：转发请求链接5.流量劫持病毒病毒运行后会释放出用来进行流量劫持的恶意驱动，被释放的恶意驱动名为volclr.sys。在火绒虚拟行为沙盒中运行结果如下图所示：释放恶意驱动恶意驱动加载后，会将浏览器首页劫持为跳转链接（hxxp://www.638739.top、hxxp://www.winxitong.cn），最终会跳转到2345导航页面（hxxps://www.hao774.com/?34067-0351）。如下图所示：跳转页面劫持流量被劫持浏览器列表，如下图所示：被劫持的浏览器恶意驱动加载后，volclr.sys驱动程序相关恶意行为如下：1.首先在minifilter过滤驱动中，对安装软件安装包进行放过，保证安全软件可以正常安装，提高病毒自身的隐蔽性。如下图所示：被放过的进程名2.通过minifilter过滤，限制explorer及安全软件（火绒、360、腾讯、金山、百度、瑞星、2345安全卫士）进程无法查看目录名为drivers下的所有文件及volclr.sys。结合第一点，可以达到既不影响安全软件安装又可以与安全软件进行对抗的目的。相关代码如下图所示：minifilter过滤drivers目录和volclr.sys使用explorer浏览系统drivers目录，如下图所示：系统drivers目录3.限制指定浏览器加载安全软件的浏览器保护动态库，突破安全软件的浏览器保护功能，达到流量劫持目的。受限制的浏览器如下图所示：受限制的浏览器受限制的动态库列表，如下图所示：受限制的动态库受限制动态库所属软件厂商，包括火绒、360、QQ电脑管家、金山等，甚至还包含有一款流氓软件的动态库WebSafe.dll。如下图所示：受限制动态库所属软件厂商4.将volclr.sys的文件重定向为ACPI.sys，当打开volclr.sys文件对象时，实际打开的是ACPI.sys。如果此时删除volclr.sys，会将系统ACPI.sys删除。代码如下图所示：替换volclr.sys文件对象名文件属性，如下图所示：volclr.sys文件属性恶意驱动原始文件属性，如下图所示：原始文件属性恶意驱动原始签名信息，如下图所示：原始签名信息四、附录文中涉及样本SHA256：*本文作者：火绒安全，转载请注明FreeBuf.COM