回帖:该页面运行后会刷取多个站点的流量,包括《神武3》官网、风行网等。刷取流量所访问的网站页面,如下图所示:https://attach.52pojie.cn/forum/201907/17/232153qhvnhzdv6vvhu0z8.jpg 刷取流量所访问的网站页面所以,这个将自己标榜为精准投放的广告投放平台本身就做着流量暗刷的灰色业务和病毒一起“合作”暗刷流量坑害广告主的利益。https://attach.52pojie.cn/forum/201907/17/232156k9wja1e2osj2lw25.png 聚软科技广告投放平台首页InstExe该病毒与acm.exe功能相似,运行后会创建隐藏的浏览器控件窗体暗刷流量,但该病毒还在持续更新中,病毒运行后还会检测本地系统环境后将相关信息上传至C&C服务器(hxxp://192.186.7.71:2001)。 该病毒为了躲避安全软件查杀,其对主要功能模块进行了加密。解密相关代码,如下图所示:https://attach.52pojie.cn/forum/201907/17/232159qqz8d8p397dxx2bz.png 解密主要病毒功能模块该病毒为了提高自身隐蔽性,运行后会检测安全软件和安全分析工具,从而躲避安全软件查杀。检测内容,如下图所示:https://attach.52pojie.cn/forum/201907/17/232201lxekn5n3kxcy3p88.png 被检测的安全软件被检测的安全分析工具,如下图所示:https://attach.52pojie.cn/forum/201907/17/232204vl7jt2ljjejatd1t.png 被检测的安全分析工具该病毒运行后会将本地系统信息(系统版本等)发送至病毒服务器,相关代码如下图所示:https://attach.52pojie.cn/forum/201907/17/232207pg2e2gvnseftnnnn.png 发送本地系统数据病毒运行时会访问配置文件,配置文件内容包含有:排除城市、释放动态库时使用的随机文件名、360安全卫士相关信任区信息等。相关配置,如下图所示:https://attach.52pojie.cn/forum/201907/17/232209uogsvvzsf1zns0du.png 配置文件病毒会创建浏览器控件窗体暗刷流量,最终意图与前文中acm.exe基本相同。相关代码,如下图所示:https://attach.52pojie.cn/forum/201907/17/232212yz8lsiq9lam3kqvi.png 注册浏览器窗体类二、传播渠道分析通过火绒终端威胁情报系统追踪,我们发现万能压缩、万能看图、Clover等多款软件会根据云控数据推广眼睛守护神,并致使病毒大范围传播。火绒前期报告《"双十一"成流氓软件爆发高峰 日均侵权推广1.7亿次》中,就曾经对万能压缩、万能看图、Clover等多款软件的流氓广告弹窗进行过分析说明,上述软件在进行流氓推广的同时,已经冲破了法律红线沦落为病毒传播渠道,致使病毒程序使用上述软件大范围传播,已经严重危害到了软件用户的信息安全,希望上述软件厂商抓紧彻查相关病毒威胁,坚守法律红线。下文中以Clover为例进行代码溯源分析。当Clover软件安装完成后,点击快捷方式或启动资源管理器时,其主程序模块Clover.exe会启动执行。Clover程序执行会装载clover_dll.dll,并执行导出函数CloverMain。如下图所示,https://attach.52pojie.cn/forum/201907/17/232215asc7eweich1eslh1.png 执行CloverMain导出函数在CloverMain函数中会调用ClvAssist.exe模块,参数为RunAssist,如下图所示:https://attach.52pojie.cn/forum/201907/17/232218znsmddd5dtlldsh4.png 调用ClvAssist模块ClvAssist.exe启动后会从hxxp://down.shusw.com/clv/st/tsk.dat 下载配置文件tsk.dat 。如下图所示:https://attach.52pojie.cn/forum/201907/17/232220j8wknnqb8aykrpop.png 下载配置文件tsk.dat通过“GUANGSU”循环异或解密配置文件数据后,可以得到原始配置数据。得到XML格式的配置文件, 如下图所示:https://attach.52pojie.cn/forum/201907/17/232223enlld2nnyr8gn0qq.png 解密后的配置文件解密相关代码,如下图所示:https://attach.52pojie.cn/forum/201907/17/232225rxc696ol5bc42cpl.png 解密配置文件根据解密出的配置文件从
http://down.shusw.com/clv/st/tsk.gif下载tsk.gif模块。如下图所示,https://attach.52pojie.cn/forum/201907/17/232228uglj5rajrz0rmacg.png 下载tsk.giftsk.gif不是gif图片文件,实际为加密后的dll文件,对其进行解密(DES解密算法,密钥为”万能的主“)并解压缩得到dll。相关代码,如下图所示:https://attach.52pojie.cn/forum/201907/17/232231r00mkmnmm8eok2hd.png 解密并解压缩得到dll文件装载dll并调用TaskRunPath等导出函数设置运行参数信息, 最后调用TaskStart进行广告弹窗和推广。如下图所示,https://attach.52pojie.cn/forum/201907/17/232234za3ka62axkgyg0jz.png 调用导出函数TaskStart函数从资源节取出XML配置文件,如下图所示https://attach.52pojie.cn/forum/201907/17/232236ys0x55sxwccsxcmx.png 从资源中获取配置数据相关配置数据,如下图所示:https://attach.52pojie.cn/forum/201907/17/232238jccsc7cxspxopzul.png 从资源节取出配置文件根据配置取得地址http://down.shusw.com/clv/st/rpv1.dat下载加密后配置文件rpv1.dat,进行解密(“GUANGSU“循环异或),内容为之后要调用的任务信息。如下图所示,https://attach.52pojie.cn/forum/201907/17/232241ezrly8g3mlegiwgq.png 任务信息配置文件在多个任务中, 其中有名为“Flush”的任务,会调用Clvhelper模块,参数为RunHP hxxp://downsrf.eastday.com/clv/flush/Flush.gif。Clvhelper.exe开始执行后,会从hxxp://downsrf.eastday.com/clv/flush/Flush.gif下载文件(现阶段该链接地址已无法返回有效数据),进行DES解密(密钥为“万能的主”)并解压得到dll文件。接着程序装载dll并执行,跳入导出函数run_lib或Run执行。如下图所示,https://attach.52pojie.cn/forum/201907/17/232323g33dftdixz2bz000.png 执行导出函数run_lib或Runrun_lib函数从hxxp://www.chlbiz.com/file/url请求配置信息。如下图所示,https://attach.52pojie.cn/forum/201907/17/232326wwi992j3fz9wioo3.png 请求配置文件对配置信息进行Base64+AES解密(密钥为“xcN2gedfty2iCjkL“),且该密钥与前文中眼睛守护神病毒模块中的解密密钥和解密方式完全相同。如下图所示,https://attach.52pojie.cn/forum/201907/17/232328xr4qa1n31u9rd9d1.png 解密配置现阶段已经获取不到与上述逻辑相关的有效的配置数据。得到配置信息,如下图所示:https://attach.52pojie.cn/forum/201907/17/232330ikm5z9p9kcb0k6qd.png 配置信息并根据解密得到的网址下载dll进行装载,并调用导出函数run_lib进行程序推广。相关代码,如下图所示:https://attach