近期,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,目前感染量达数万台。该病毒被植入终端后,会通过下载执行恶意驱动模块的方式,向用户实施捆绑安装、广告弹窗等恶意行为,严重威胁用户的信息安全。值得注意的是,该病毒仍在持续更新中,不排除后续下发新的恶意模块,添加新的恶意功能。目前,火绒安全软件已对该病毒进行拦截查杀。
该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后,病毒会通过C&C服务器接收并执行病毒作者下发的各类指令,包括下载恶意模块,搜集用户访问的web站点信息,甚至具备恶意代理功能,可控制用户电脑作为流量跳板,使用户电脑成为辅助的代理服务器。同时,会在后台静默安装大量软件,造成电脑卡顿,还会定期弹出广告窗口。
今年315晚会,央视曝光了下载站的诸多乱象,如强制弹出、捆绑安装、诱骗下载等。由此可见下载站也已经成为病毒的主要传播渠道。
详细分析 “拉法日历”主程序 “拉法日历”主程序名为LFCalendar.exe,但其本身不具有日历相关软件功能,主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件,之后为恶意驱动创建启动项。相关代码,如下图所示:
恶意驱动主模块 udwnapi.sys为恶意驱动主模块,根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类,针对不同的受害者下发不同的恶意配置信息。
根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块。相关代码
内存映射执行恶意驱动模块。相关代码
恶意驱动过滤模块 该病毒会通过网络过滤驱动收集受害者访问的网址信息,当驱动检测到用户访问特定的站点时,即会弹出广告网页,被检测的网址包括:www.baidu.com 等。该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由 C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中,导致中毒用户的信息安全可能会受到不同程度侵害。
由C&C服务器判断是否弹出广告(pop.sys)
将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中。相关代码
本地判断是否弹出广告(homepop.sys) 当网络过滤驱动检测到访问特定的网址时,将相关信息插入等待列表中,相关代码
弹出广告网页(ExpFc64.dll) 恶意驱动代理模块
proxy.sys驱动代理模块,会使受害者终端成为辅助的代理服务器资源,来转发C&C服务器下发的的网络请求。恶意代理功能执行流程
ExpFc.dll作为恶意推广模块,具有多种恶意推广手段,如:后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为,以提高相关病毒模块的隐蔽性。
注入Explorer
恶意驱动dll.sys通过HOOK TranslateMessage函数来执行Shellcode,相关代码
Shellcode会将恶意推广模块内存映射进Explorer进程内存中,相关代码
一、溯源分析 通过对“拉法日历“进行溯源分析,发现该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,该安装包的数字签名是上海九罗网络科技有限公司,相关信息,如下图所示
对上海九罗网络科技有限公司进行溯源,产权信息,如下图所示:
在分析过程中,发现21压缩软件会推广此病毒程序,21压缩数字签名如下图所示:
对重庆智领云英教育科技有限公司进行溯源,确认21压缩为该公司所开发软件,产权信息
|