Xcode編譯器引發的蘋果病毒大爆發事件還未平息,又一起嚴重的網絡資源帶毒事故出現在PC互聯網上。
這是一個名為Killis(殺是)的驅動級木馬,該木馬覆蓋國內二十余家知名下載站,通過各大下載站的下載器或各種熱門資源傳播,具有云控下發木馬、帶有數字簽名、全功能流氓推廣、破壞殺毒軟件等特點。根據360安全衛士監測,最近10小時內,Killis木馬已經攻擊了50多萬臺電腦。
下載站遍布暗雷的廣告位誘導早已不是什么新鮮事了。但試問:即便是如同槍林彈雨中左躲右閃的士兵一樣躲過了所有的“陷阱”,你就安全了么?
答案是否定的,因為Killis木馬的源頭就隱藏在一些知名下載站的真實下載地址中。
以國內某大型下載站為例,當用戶點擊一些資源的真實下載地址后,下載回來的首先是一個下載器(http:[email protected]_114617.exe):
這個程序運行后,除了為用戶下載原本需要的資源以外,它同時會向服務器請求一個推廣列表:
Killis木馬就在這時進入電腦。再看帶有Killis木馬推廣行為的下載站列表,只要你在國內下載站下載文件,幾乎無可避免會遇到Killis木馬的侵襲,此木馬背后產業鏈的流量控制能力由此可見一斑:
Killis木馬偽裝成“傳奇霸業”的端游客戶端,并利用一些公司泄露的過期簽名,為自己簽發木馬。而這個游戲客戶端只是個幌子,木馬真正的功能是將用戶計算機做為一個刷量終端,不斷的進行推廣。此木馬可以云控安裝軟件,安裝插件,放桌面放快捷方式,改桌面快捷方式,改桌面圖標,殺指定進程。Killis作為一個全功能的推廣器隱藏在受害用戶計算機中,并且還有一個殺進程驅動,用來結束多家殺軟的進程,防止木馬推廣被攔截。
木馬原始包:629c04c150ef632b098fe65cf3ff3b60
木馬驅動,帶有一個過期的簽名:4f504c748025aa34d9c96d0e7f735004
Xuanyi Electronic (Shanghai) Co., Ltd.
被這個木馬利用的簽名列表:
Open Source Developer, 東莞市邁強電子科技有限公司
Luca Marcone
Baoji zhihengtaiye co.,ltd
Jiangsu innovation safety assessment Co., Ltd.
Wemade Entertainment co.,Ltd
Beijing Chunbai Technology Development Co., Ltd
Fuqing Yuntan Network Tech Co.,Ltd.
Guangzhou Kingteller Technology Co.,Ltd.
Shenzhen Liantian Technology Co., Ltd
Xuanyi Electronic (Shanghai) Co., Ltd.
用來做偽裝的游戲安裝包:
木馬功能分析:驅動部分,是一個名為KILLIS的設備,用來負責查殺進程操作:
驅動打開進程與結束進程:
驅動pid查找結束進程:
Ring3部分,是一個下載推廣器,內置了一批推廣列表,通過Base64編碼:
解碼后發現的木馬推廣列表:
木馬的云控打點信息,收集客戶端的mac地址,系統信息等提交云端,云端下發推廣列表給木馬推廣執行:
木馬檢查殺軟進程,包括360、騰訊和金山的軟件進程:
木馬注冊插件:
木馬創建服務,并向設備發送消息:
針對國內眾多下載站遭Killis木馬污染的情況,360安全中心已將此情況進行通報,提醒各網站加強對推廣資源的審核和管控,以免對用戶造成損失。同時360安全產品也會對下載網站推廣木馬的行為進行風險提示。
針對廣大網友,建議盡量選擇安全可靠的渠道進行下載。如果發現電腦自動安裝了不請自來的軟件,應及時全盤掃描殺毒,以防系統殘留木馬,對賬號和數據安全造成更嚴重的風險。