近日，火絨工程師發(fā)現(xiàn)2345旗下“多特下載站”的下載器（高速下載）正在實施傳播木馬程序的惡意行為。用戶下載運行該下載器后，會立即被靜默植入一款名為“commander”的木馬程序，該木馬程序會在后臺運行，并根據(jù)云控配置推送彈窗廣告和流氓軟件。

即使用戶關(guān)閉下載器，“commander”仍然會一直駐留用戶系統(tǒng)。同時，該下載器還會釋放病毒劫持用戶瀏覽器首頁，用以推廣廣告程序。 

目前，火絨安全軟件最新版已對該下載器與“commander”軟件相關(guān)惡意與流氓模塊進行攔截查殺。

 

 

火絨工程師對木馬程序 “commander”進行分析后發(fā)現(xiàn)，該程序會在用戶不知情下被靜默安裝至電腦中，并在開始菜單、桌面等位置均沒有創(chuàng)建相關(guān)的啟動快捷方式，導(dǎo)致用戶難以發(fā)現(xiàn)該軟件的存在；同時，其廣告推廣模塊會在后臺偷偷運行，不停的進行廣告推送、靜默推廣其它軟件，嚴重影響了用戶正常使用電腦。為了躲避安全軟件的查殺，該木馬程序還會主動檢測用戶電腦中是否安裝安全軟件和工具。

截至目前，被“commander”木馬程序靜默推廣的軟件共有9款，包括趣壓、拷貝兔、小白看圖等，且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。

 

 

事實上，木馬程序、流氓軟件與類似“多特”這樣的下載站之間早已形成了一條完整的黑色產(chǎn)業(yè)鏈：下載站通過木馬程序、病毒，來靜默推廣流氓軟件，以此獲取軟件廠商提供的利益；流氓軟件被傳播到用戶電腦后，也會實施捆綁、彈窗等惡意推廣其它軟件的行為，從中獲取利潤。一旦用戶下載此類下載器或流氓軟件，就會陷入“瘋狂”的被靜默安裝與推廣的陷阱中。

在此，火絨工程師提醒廣大用戶，一定要通過官網(wǎng)等正規(guī)渠道下載軟件，謹慎使用下載站等第三方下載器下載軟件，必要時可先使用可靠的安全軟件對其進行掃描后再使用。同時，我們呼吁廣大下載站，尊重用戶權(quán)益，合理逐利，對于任何侵犯用戶權(quán)益的流氓、病毒軟件以及下載器，火絨都會及時進行攔截查殺。

 

附：【分析報告】

一、詳細分析

一直以來，下載站都是眾多流氓軟件的主要傳播渠道之一。本次火絨發(fā)現(xiàn)的木馬程序commander，就是通過多特下載站的下載器進行靜默推廣。只要用戶在未安裝安全軟件（如火絨、360、金山等）的環(huán)境中運行多特下載器，就會靜默下載安裝commander木馬程序。除此之外，多特下載站下載器還會下載釋放鎖首木馬和廣告推廣程序，并且檢測安全軟件躲避安全查殺。綜上所述惡意行為，多特下載站下載器已經(jīng)滿足了火絨對病毒的定義。多特下載站頁面，如下圖所示：

 

 

多特下載站頁面

多特下載器惡意行為

多特下載器運行之后會根據(jù)它的云端配置規(guī)避殺軟并進行軟件靜默推廣

規(guī)避殺軟程序的相關(guān)配置信息如下圖所示：

 

 

規(guī)避的殺軟程序

下圖中紅框標注部分為木馬程序commander相關(guān)推廣信息（commander相關(guān)惡意行為將在下一章節(jié)進行分析）。靜默推廣軟件的相關(guān)配置信息，如下圖所示：

 

 

推廣軟件的相關(guān)配置信息

靜默推廣軟件的相關(guān)代碼，如下圖所示：

 

 

靜默推廣軟件相關(guān)代碼

多特下載器除了靜默推廣軟件之外，還會根據(jù)其配置下載具有瀏覽器鎖首及添加瀏覽器書簽功能的流氓程序DTPageSet.exe，此程序雖然能正常下載到用戶電腦之中，但是后續(xù)的代碼執(zhí)行功能并未放開，不排除將來運行此程序的可能性。下載DTPageSet.exe相關(guān)配置信息如下圖所示：

 

 

DTPageSet.exe相關(guān)配置信息

下載運行DTPageSet.exe相關(guān)代碼如下圖所示：

 

 

下載運行DTPageSet.exe

受影響的瀏覽器如下圖所示：

 

 

受影響的瀏覽器

DTPageSet.exe主要通過修改注冊表，修改瀏覽器配置文件，修改瀏覽器快捷方式參數(shù)的方式來鎖定瀏覽器首頁。

以QQ瀏覽器為例，DTPageSet.exe修改注冊表來鎖定瀏覽器主頁的相關(guān)代碼和現(xiàn)象如下圖所示：

 

 

修改QQ瀏覽器注冊表

 

 

修改后的注冊表及瀏覽器首頁被鎖定

以搜狗瀏覽器為例，DTPageSet.exe修改瀏覽器配置文件來鎖定瀏覽器主頁的相關(guān)代碼和現(xiàn)象如下圖所示：

 

 

修改瀏覽器配置文件相關(guān)代碼

 

 

修改后的瀏覽器配置及瀏覽器首頁被鎖定

以360安全瀏覽器為例，DTPageSet.exe修改瀏覽器快捷方式參數(shù)來鎖定瀏覽器主頁的相關(guān)代碼和現(xiàn)象如下圖所示：

 

 

修改瀏覽器快捷方式參數(shù)

 

 

修改后的瀏覽器快捷方式參數(shù)及瀏覽器首頁被鎖定

DTPageSet.exe除了上述鎖定瀏覽器首頁行為外，還會將云端下放的書簽配置添加到瀏覽器之中，添加瀏覽器書簽相關(guān)配置信息如下圖所示：

 

 

瀏覽器書簽相關(guān)配置

下面以360安全瀏覽器為例，添加瀏覽器書簽相關(guān)代碼及現(xiàn)象如下圖所示：

 

 

創(chuàng)建并寫入書簽相關(guān)代碼

 

 

瀏覽器中被插入的書簽

commander分析

如前文所述，多特下載站下載器會靜默推廣木馬程序commander。commander軟件被下載器靜默推廣安裝到%APPDATA%commander文件夾下，中間過程無任何提示。且在開始菜單、桌面和任務(wù)欄上都沒有軟件功能的入口，用戶根本無法察覺到軟件的安裝。該軟件在安裝后會下載執(zhí)行多個廣告彈窗模塊進行廣告推廣，并且會下載執(zhí)行靜默推廣模塊，推廣軟件。

Commander在安裝后，會將Services.exe模塊注冊為服務(wù)，開機自啟。Services模塊會定時（每30分鐘一次）啟動commandtools.exe。commandtools.exe模塊會從服務(wù)器地址（hxxp://i.zzb6.cn/api/data/get）下載到加密的配置文件config.dll，并根據(jù)配置下載執(zhí)行廣告彈窗和軟件推廣模塊。配置文件，如下圖所示：

 

 

配置文件

commandtools.exe模塊會對配置文件中block字段中的所有彈窗和推廣模塊進行遍歷下載執(zhí)行。每個模塊在下載之前，可以根據(jù)配置文件設(shè)置一些下載條件，比如檢測環(huán)境，過濾進程等。下載執(zhí)行代碼，如下圖所示：

 

 

遍歷下載執(zhí)行模塊

在目前的配置中，下發(fā)的廣告彈窗程序有多個，但只有兩種，從服務(wù)器下載的路徑上看，應(yīng)該為同一程序的不同版本，差別不大。該廣告彈窗模塊會頻繁彈出，且窗口多樣。廣告彈窗現(xiàn)象，如下圖所示：

 

 

appupdui.exe在運行時會根據(jù)配置通過枚舉進程名的方式對系統(tǒng)中的軟件環(huán)境進行檢測，除此之外還會檢測當前IP所在城市，被檢測的城市包括：北京、上海、廣州、珠海、杭州、西安、馬鞍山、蘇州、武漢、天津、合肥。被檢測的進程，如下圖所示：

 

 

檢測城市和軟件環(huán)境相關(guān)代碼，如下圖所示：

 

 

環(huán)境檢測和城市檢測代碼

通過遍歷進程的方式檢測軟件環(huán)境，相關(guān)代碼如下圖所示：

 

 

進程檢測代碼

appupdui.exe模塊會根據(jù)config.dll配置中的ads軟件ID列表進行靜默下載安裝流氓軟件。ads列表中的軟件ID號與config.dll中的[Exe]部分的推廣軟件相關(guān)配置一一對應(yīng)，如Exe_783與軟件助手相關(guān)配置對應(yīng)。相關(guān)配置，如下圖所示：

 

 

靜默推廣相關(guān)配置

根據(jù)配置文件中的下載地址靜默下載執(zhí)行安裝包程序，相關(guān)代碼如下圖所示：

 

 

根據(jù)config.dll中的配置靜默下載執(zhí)行軟件安裝包

經(jīng)過分析我們發(fā)現(xiàn)，被commander靜默推廣的軟件（小白看圖、趣壓、拷貝兔等），與commander系為同一作者編寫，且安裝后都帶有與commandtools.exe相同的惡意功能模塊。在這些被推廣的軟件config.dll配置中，暫未發(fā)現(xiàn)下載appupdui.exe的相關(guān)配置，但不排除將來下發(fā)其他惡意功能模塊的可能性。相關(guān)代碼同源性對比圖，如下圖所示：

 

 

代碼同源性對比圖

 

二、附錄

樣本hash