一、现象和危害
随着假期临近,专门攻击安全软件的恶性病毒“苏拉克”流行态势也愈发猖獗。此病毒会将浏览器首页锁定劫持用户流量,更严重的是该病毒会禁止安全软件驱动的加载,使火绒安全软件、360安全卫士、腾讯管家、百度卫士等主流安全软件无法正常运行,使电脑处于不设防状态。经过我们近期对大量用户现场的处理,发现此病毒是通过伪装成“小马激活工具OEM10”的方式进行社会工程学传播。
二、预防和查杀
火绒安全软件3.0可以有效查杀“假小马”激活工具。建议用户在安装操作系统后,首先安装火绒安全软件,并且建议用户使用正版系统,最大限度降低安全风险。
三、分析
通过访问原版的小马激活工具官网,我们发现小马激活工具从2014年10月起停止更新(http://www.pccppc.com/xiaomajihuo-html 停止更新公告),最新的版本仅为OEM7,并不存在“小马激活工具OEM10”这个版本(下文中我们称之为”假小马“)。后面出现的众多版本,都是借小马激活工具的名义,实际上是原版激活工具与“苏拉克”病毒的混合体,除了激活系统还增加了对抗杀软和劫持流量的功能。由于大部分用户是在系统安装后优先使用激活工具,加之“苏拉克”通过驱动阻止安全软件驱动加载,使得“假小马”在对抗安全软件上拥有了时间优势,更难于查杀。
下图为用户搜索时所呈现的网址,可以看到图中用户搜索到的网址(www.pcccppccc.com)和原版小马激活工具官网(www.pccppc.com)十分相似,很具有欺骗性。
我们所展示的这个仿冒网址已经失效。除此网址以外,携带着病毒的小马激活工具的作者在短时间内还注册多个域名,通过用户反馈和一些搜索渠道获取到了一些假的“小马激活工具”网站,以下是我们获取到的仿冒网站:
http://www.**aomajihuo**.com/
http://www.**aomajihuo.net/
http://www.fbb00*.com/
http://yhd*.com.cn/
http://cnmianhu*.com/
他们大多注册时间都在2015年小马停止更新之后,而且域名的有效时间都仅为一年。病毒作者利用搜索引擎竞价排名功能付费推广使其仿冒网站出现在搜索引擎搜索结果的首位。利用这种手段不断地诱骗更多用户下载这些裹挟着病毒小马激活工具,从而大大加速了”假小马“在互联网中的传播速度。
假小马激活工具还在持续更新,可能还会有新的假冒网站。我们所发现的仿冒官网中都只包含有“小马激活工具”选项卡,而真正的官网提供了更多的选项卡。用户朋友们可以根据网站的结构来区分真假小马激活工具,如下为真假小马官网对比图:
“假小马”激活工具在检测到用户计算机上存在火绒以及其他主流安全软件时会弹出提示,诱骗用户关闭安全软件,从而进一步躲避安全软件的查杀。如图所示:
下图为我们截取到的其检测安全软件进程的相关信息。如图所示:
通过火绒剑分析“假小马”会查找用户安装的浏览器,并修改各个浏览器的首页设置,释放surak.sys 和 LHPLKernel.sys这两个驱动文件截取流量并对抗安全软件,如下图红框内为激活工具释放的“苏拉克”病毒,橙色框内是真正的激活工具:
四、附录
本报告中所涉及的样本SHA1如下:
b5148b803e78c1be4def68d320942a3b9dba687c
43ea6d4274395dac958ebb2a3f323e897cb3a8d4
5994f0aa091213fcae6fbcb6452183d10e4479c9
c201d2f4d80358e0698d323d47b9da901593b10a
a2a51a0975b0fe0dac13bb5fee7c2701e6973759
852e43f9d82ea2dcfc8309135daedd9eae3d2659
c0b6dff5b23c0fc86820ab49e7de9dd415b6e3fb
ff1c4795820ab9ad6f6706ba211ea7b989bb377c
049785509520a93e19ef501eed5a30e207b47434
……