流氓软件传播病毒感染量数万下载站仍是主要推广渠道

呢喃520 · 发表于 2022-4-20 13:44:20

近期，火绒安全实验室根据用户反馈，发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播，目前感染量达数万台。该病毒被植入终端后，会通过下载执行恶意驱动模块的方式，向用户实施捆绑安装、广告弹窗等恶意行为，严重威胁用户的信息安全。值得注意的是，该病毒仍在持续更新中，不排除后续下发新的恶意模块，添加新的恶意功能。目前，火绒安全软件已对该病毒进行拦截查杀。

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第1张图片

火绒查杀图

21压缩下载界面

火绒安全实验室分析溯源发现，该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后，病毒会通过C&C服务器接收并执行病毒作者下发的各类指令，包括下载恶意模块，搜集用户访问的web站点信息，甚至具备恶意代理功能，可控制用户电脑作为流量跳板，使用户电脑成为黑客的代理服务器。同时，会在后台静默安装大量软件，造成电脑卡顿，还会定期弹出广告窗口。病毒恶意行为执行流程图，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第3张图片

病毒恶意行为执行流程图

今年315晚会，央视曝光了下载站的诸多乱象，如强制弹出、捆绑安装、诱骗下载等。火绒安全实验室近年来也在持续对下载站乱象进行关注，并曾多次曝光过病毒借助下载站传播的事件，由此可见下载站也已经成为病毒的主要传播渠道。
对此，火绒安全再次提醒广大用户，下载软件请通过官方网站；如必须使用某些不明程序，可以提前开启安全软件进行扫描、查杀，或者前往火绒官方论坛求助，确保文件、程序安全后再运行，以免遭遇风险。
一、详细分析

“拉法日历”主程序

“拉法日历”主程序名为LFCalendar.exe，但其本身不具有日历相关软件功能，主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件，之后为恶意驱动创建启动项。相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第4张图片

获取驱动文件

创建恶意驱动启动项，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第5张图片

创建恶意驱动启动项

恶意驱动主模块

udwnapi.sys为恶意驱动主模块，根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类，针对不同的受害者下发不同的恶意配置信息。
从C&C服务器获取恶意配置信息，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第6张图片

从C&amp;amp;amp;C服务器获取恶意配置信息

接收到的恶意配置信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第7张图片

接收到的恶意配置信息

根据C&C服务器下发的配置信息，下载执行其他恶意驱动模块。相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第8张图片

根据C&amp;amp;amp;C服务器下发的配置信息下载执行其他恶意驱动模块

内存映射执行恶意驱动模块。相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第9张图片

内存映射恶意驱动模块

恶意驱动过滤模块

该病毒会通过网络过滤驱动收集受害者访问的网址信息，当驱动检测到用户访问特定的站点时，即会弹出广告网页，被检测的网址包括：http://www.bAIdu.com 等。该病毒使用两种方式来判断是否弹出广告网页，第一种方式是在本地根据C&C服务器下发的规则进行判断；第二种则会将用户访问的网址信息发送给C&C服务器，由 C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中，导致中毒用户的信息安全可能会受到不同程度侵害。
由C&C服务器判断是否弹出广告（pop.sys）
记录受害者访问的web网址，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第10张图片

记录受害者访问的web网址

将网址发送给C&C服务器，等待服务器返回响应结果后，将相关信息插入等待列表中。相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第11张图片

向C&amp;amp;amp;C服务器发访问网址数据

本地判断是否弹出广告（homepop.sys）

C&C服务器下发的本地网址过滤规则，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第12张图片

C&amp;amp;amp;C服务器下发的的本地网址过滤规则

当网络过滤驱动检测到访问特定的网址时，将相关信息插入等待列表中，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第13张图片

检测受害者访问特定的网址

弹出广告网页（ExpFc64.dll）

推广模块会获取等待列表，并弹出广告。相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第14张图片

弹出广告网页代码

火绒剑检测到的行为信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第15张图片

火绒剑检测到的行为信息

恶意驱动代理模块

proxy.sys驱动代理模块，会使受害者终端成为黑客的代理服务器资源，来转发C&C服务器下发的的网络请求。恶意代理功能执行流程，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第16张图片

恶意代理功能执行流程

转发逻辑代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第17张图片

转发逻辑代码

恶意推广模块

ExpFc.dll作为恶意推广模块，具有多种恶意推广手段，如：后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为，以提高相关病毒模块的隐蔽性。
注入Explorer

恶意驱动dll.sys通过HOOK TranslateMessage函数来执行Shellcode，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第18张图片

HOOK TranslateMessage函数

Shellcode会将恶意推广模块内存映射进Explorer进程内存中，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第19张图片

Shellcode代码

恶意推广行为

弹出广告网页相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第20张图片

弹出广告网页

后台静默安装推广软件，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第21张图片

后台静默安装推广软件

火绒拦截到的软件安装行为，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第22张图片

火绒拦截到的软件安装行为

弹出广告窗口，相关代码，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第23张图片

弹出广告窗口代码

二、溯源分析

火绒工程师通过对“拉法日历“进行溯源分析，发现该程序以静默安装包的形式被推广到用户电脑上，在用户并不知情的情况下被安装上，该安装包的数字签名是上海九罗网络科技有限公司，相关信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第24张图片

拉法日历数字签名

对上海九罗网络科技有限公司进行溯源，产权信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第25张图片

上海九罗网络科技有限公司产权信息

在分析过程中，火绒工程师发现21压缩软件会推广此病毒程序，21压缩数字签名如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第26张图片

21压缩数字签名

对重庆智领云英教育科技有限公司进行溯源，确认21压缩为该公司所开发软件，产权信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第27张图片

重庆智领云英教育科技有限公司产权信息

对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播，虽然推广21压缩的高速下载器已经全部下架，但第三方下载站还存在大量21压缩相关软件。百度搜索“21压缩”，可以看到不同下载站关于21压缩的软件下载链接。相关信息，如下图所示：

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第28张图片

百度搜索结果

三、附录

C&C服务器:

流氓软件传播病毒感染量数万下载站仍是主要推广渠道第29张图片

SHA256:

上一篇：土猪认养放养，不再吃饲料猪，送你一个农场要吗？
下一篇：还在吃饲料猪?大家都在农村认养放养的了

ZHMGW88 · 发表于 2022-4-20 13:45:06

没人的吗？[思考]

海尔手机专卖 · 发表于 2022-4-20 13:46:05

留名

遥望星空q · 发表于 2022-4-20 13:46:25

顶火绒。汪汪汪

happyguy · 发表于 2022-4-20 13:46:40

留名

随风随和718 · 发表于 2022-4-20 13:47:05

听说，很多病毒是杀毒软件公司故意放出来的。

Jebedish · 发表于 2022-4-20 13:47:59

干杯

谁懂我心。 · 发表于 2022-4-20 13:48:19

很可能是付费杀软时代的流言。

故园２３ · 发表于 2022-4-20 13:48:41

假装我看懂了[飙泪笑][飙泪笑][飙泪笑]

晃晃2003 · 发表于 2022-4-20 13:48:54

能做出这样东西的人也挺厉害了

白金会员	积分	兔币	帖子
白金会员, 积分 3492, 距离下一级还需 1508 积分	3492	1897	1595
在线时间：0 小时	最后登录：2023-9-20

白金会员	积分	兔币	帖子
白金会员, 积分 3265, 距离下一级还需 1735 积分	3265	1774	1491
在线时间：0 小时	最后登录：2024-3-9

白金会员	积分	兔币	帖子
白金会员, 积分 3226, 距离下一级还需 1774 积分	3226	1756	1470
在线时间：0 小时	最后登录：2023-9-17

白金会员	积分	兔币	帖子
白金会员, 积分 3351, 距离下一级还需 1649 积分	3351	1825	1526
在线时间：0 小时	最后登录：2024-1-28

白金会员	积分	兔币	帖子
白金会员, 积分 3444, 距离下一级还需 1556 积分	3444	1880	1564
在线时间：0 小时	最后登录：2024-2-17

[闲聊] 流氓软件传播病毒感染量数万下载站仍是主要推广渠道

关联主题

精彩评论11

被认错是杨幂的13年后，赵丽颖和杨幂走上了

郭晋安和妻子离婚，杨乐乐深陷风波，“丧偶

复旦交大等上海高校继续招收插班生考生：

奇瑞增程式大SUV来了！只卖18.98万，PK问界

iQOO Neo9s Pro+配置曝光：1.5K+144Hz直屏

重磅官宣：西安也取消了！仅北京、上海、深

取消预售，天猫兜不住了

预售19.9万元起星纪元ET将于今晚正式上市

大败局！批量复制的旅游古镇，正在批量沦为

大牛市，打了个喷嚏

谁贡献了A股2.24万亿分红？

印媒：“负债累累”的巴基斯坦如何获取最新

学罗永浩带货还债？贾跃亭宣布将开启个人IP

《魔兽世界》地心之战可以沉浸式撸猫，新图

A股指数全线飘红！“三个不确定性”降低

狼队4-0KSG，闯入胜决会师AG！妖刀直言：惧

美国人叫停拜登：放弃“保卫”南海，马科

辽宁94-110广东，周琦复出改变内线平衡，张

华为再造一悍将！将上市，鸿蒙座舱，智能驾

模仿名人，蹭流量，只是昙花一现

主角脸对女演员有多重要？看《无限超越班》

万科，破鼓万人捶

轰20很快对外公布，台中将：轰20完全隐形，

鸡蛋大小！广州多地降下冰雹，“天空数次闪

3个半小时，点球10-11，夺冠热门出局，黑马

不许对台军售！以往是美制裁中国，中方首次

20岁谷爱凌惊艳颁奖礼，穿“黄金战袍”气场

我老公是国足！球员妻子开保时捷撞车后打人

“木头姐”谈特斯拉目标价，说对了吗

巴勒斯坦“入联”遭美阻挠，联合国一票否决

财神驾到

绿林道的

一抹伤

哇哇的哭

冷香丸

[闲聊] 流氓软件传播病毒感染量数万 下载站仍是主要推广渠道

关联主题

精彩评论11

[闲聊] 流氓软件传播病毒感染量数万下载站仍是主要推广渠道