激活工具带毒,静默推广安装360、2345系列软件
火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。
近期,火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒;【软件安装拦截】功能可拦截被推广的软件。
被推广的软件
病毒查杀图
通过百度搜索“激活工具”发现,排名靠前的三条搜索结果都在传播该病毒,这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。
一、详细分析
病毒启动后会从远程服务器上下载恶意配置信息,并执行对应的恶意行为,如:下载、执行任意文件,后台静默安装软件等。病毒的执行流程,如下图所示:
Setup_Activator.exe是初始化模块,该模块是个Autoit脚本编译的,并使用混淆手段来躲避杀毒软件查杀。将其去混淆后,发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块,并创建任务计划进行持久化。释放激活工具和恶意模块。为恶意模块创建任务计划进行持久化,每次开机的时候都会启动。根据系统版本来执行不同的激活工具。在kmsactivation.exe模块中,首先获取恶意配置信息,再根据恶意配置信息来执行特定的恶意行为,如:下载、执行任意文件,后台静默安装软件等。根据恶意配置信息下载、执行任意文件。还会过滤指定城市,对指定城市以外的地方,额外安装一些软件(腾讯电脑管家),获取用户当前所在城市。根据恶意配置信息,后台静默推广软件,并对指定城市以外的地方,额外安装一些软件(腾讯电脑管家)。
二、病毒HASH
被推广的软件
病毒查杀图
通过百度搜索“激活工具”发现,排名靠前的三条搜索结果都在传播该病毒,这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。
一、详细分析
病毒启动后会从远程服务器上下载恶意配置信息,并执行对应的恶意行为,如:下载、执行任意文件,后台静默安装软件等。病毒的执行流程,如下图所示:
Setup_Activator.exe是初始化模块,该模块是个Autoit脚本编译的,并使用混淆手段来躲避杀毒软件查杀。将其去混淆后,发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块,并创建任务计划进行持久化。释放激活工具和恶意模块。为恶意模块创建任务计划进行持久化,每次开机的时候都会启动。根据系统版本来执行不同的激活工具。在kmsactivation.exe模块中,首先获取恶意配置信息,再根据恶意配置信息来执行特定的恶意行为,如:下载、执行任意文件,后台静默安装软件等。根据恶意配置信息下载、执行任意文件。还会过滤指定城市,对指定城市以外的地方,额外安装一些软件(腾讯电脑管家),获取用户当前所在城市。根据恶意配置信息,后台静默推广软件,并对指定城市以外的地方,额外安装一些软件(腾讯电脑管家)。
二、病毒HASH
评论27次
一直证书激活,研究一下这个恶意病毒
2345,360业界最`良心`
360浏览器都卸载不干净
用云萌激活啊 开源的
360,2345这种是真的难用还广告多,还删不干净
2345,360业界最`良心`
内网自建认证服务器安全又方便
360无敌了,这种激活工具都捆绑,无孔不入啊
用云萌激活啊 开源的
很棒老哥,已经下载了
360这些工具推广一个赚多少钱啊,这产业好多年了吧
有样本嘛,是否能分享一下,感激不尽
用云萌激活啊 开源的
感谢大哥,才知道这个
很多的这种工具都带毒
360浏览器都卸载不干净
360家族里的东西都很顽固,卸载不干净
重装吧,防不胜防啊
360浏览器都卸载不干净
直接重做xi统,啥都干净了
防不胜防啊,总能钻空子。
狗皮膏药360
有样本吗,好像每个链接下载的工具不同
用云萌激活啊 开源的
360浏览器都卸载不干净
看了都害怕。
样本能发下吗,hash没有搜到
又有360,可真够烦人的