网络资源重污染：超过20家知名下载站植入Killis木马

浮尘

Xcode编译器引发的苹果病毒大爆发事件还未平息，又一起严重的网络资源带毒事故出现在PC互联网上。这是一个名为Killis（杀是）的驱动级木马，该木马覆盖国内二十余家知名下载站，通过各大下载站的下载器或各种热门资源传播，具有云控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测，最近10小时内，Killis木马已经攻击了50多万台电脑。

Killis木马传播：下载站隐蔽推广

下载站遍布暗雷的广告位诱导早已不是什么新鲜事了。但试问：即便是如同枪林弹雨中左躲右闪的士兵一样躲过了所有的“陷阱”，你就安全了么？

答案是否定的，因为Killis木马的源头就隐藏在一些知名下载站的真实下载地址中。以国内某大型下载站为例，当用户点击一些资源的真实下载地址后，下载回来的首先是一个下载器（http://down10.zol.com.cn/zoldown ... .2394@81_114617.exe）：

这个程序运行后，除了为用户下载原本需要的资源以外，它同时会向服务器请求一个推广列表：

Killis木马就在这时进入电脑。再看带有Killis木马推广行为的下载站列表，只要你在国内下载站下载文件，几乎无可避免会遇到Killis木马的侵袭，此木马背后产业链的流量控制能力由此可见一斑：

绿茶软件园

http://www.33lc.com

http://xiazaiqi2.33lc.com/down/media%20player播放器@133_48306.exe

统一下载站

http://www.3987.com

http://xiazaiqi2.3987.com/down/Adobe%20Flash%20Player%2064位下载%20v19.0.0.162%20官方最新版@135_42151.exe

当游网

http://www.3h3.com  

http://url.3h3.com/down/欧洲卡车模拟2真实中国加油站及油价MOD@132_34852.exe

飞翔下载

http://www.52z.com

http://url.52z.com/down/QQ空间进入权限破解器@13_162077.exe

起点下载

http://www.cncrk.com

http://url.cncrk.com/down/语音自动生成器%20V1.0%20绿色免费版@25_70621.exe

星星软件站

http://www.cnd8.com

http://url.cnd8.com/down/通达oa2009破解版@128_639.exe   已失效

非凡软件站  

http://crsky.com

http://url.crsky.com/down/fyspw-v7.1@62_29616.exe   已失效

多多软件站

http://www.ddooo.com

http://url.ddooo.com/down/realte ... ontroller%28realtek网卡驱动%29+for+xp-vista-win7最新版@48_53648.exe

当下软件园  

http://www.downxia.com

http://url.downxia.com/down/音频文件转换精灵%20V2.0%20官方免费版@34_86930.exe

软件E线下载

http://edowning.net

http://url.edowning.net/down/爱普生Epson+L1300驱动+for+xp-win7+免费版@16_82695.exe

华彩软件站  

http://huacolor.com

http://url.huacolor.com/down/广联达G+工作台5.2.13.858官方版@35_103052.exe

软件盒子

http://itopdog.cn

http://url.itopdog.cn/down/天正建筑(附注册机)@69_2692.exe

极速下载站

http://www.jisuxz.com

http://url.jisuxz.com/down/亲淘@77_46622.exe

未来软件园

http://www.orsoon.com

http://url.orsoon.com/down/AIDA64%20Extreme%20Edition(硬件检测)@24_11647.exe

天空下载站  

http://www.skycn.com

http://down10.zol.com.cn/skycndownernew/zuma_20100606@83_965.exe

使用ZOL下载服务器

数码资源网

http://www.smzy.com

http://url.smzy.com/down/Imatest (数码影像测试软件) v3.4 免费版@41_115257.exe

玩游戏网

http://www.wanyx.com

http://url.52lishi.com/down/红色警戒2：尤里的复仇%20无敌修改器（加三星）@54_18387.exe%EF%BC%89@54_18387.exe

XP系统之家

http://www.xp510.com

http://xiazaiqi2.xp510.com/down/优酷客户端官方下载+v6.0.0.3261+绿色便携版@136_22757.exe

系统天堂

http://xpgod.com

http://xiazaiqi2.xpgod.com/down/一起作业下载桌面版2015最新版@134_19132.exe

中关村在线

http://www.zol.com.cn

http://down10.zol.com.cn/zoldown ... .2394@81_114617.exe

太平洋下载

http://www.pconline.com.cn

http://dl-xzq.pconline.com.cn/down/五笔拼音输入法2015@131_359408.exe

华军软件园

http://www.onlinedown.net

http://www.onlinedown.net/api/in ... afe40dde8eb3150e71c

KILLIS木马分析：AV终结者+全功能流氓推广器

Killis木马伪装成“传奇霸业”的端游客户端，并利用一些公司泄露的过期签名，为自己签发木马。而这个游戏客户端只是个幌子，木马真正的功能是将用户计算机做为一个刷量终端，不断的进行推广。此木马可以云控安装软件，安装插件，放桌面放快捷方式，改桌面快捷方式，改桌面图标，杀指定进程。Killis作为一个全功能的推广器隐藏在受害用户计算机中，并且还有一个杀进程驱动，用来结束多家杀软的进程，防止木马推广被拦截。

木马原始包：629c04c150ef632b098fe65cf3ff3b60

木马驱动，带有一个过期的签名：4f504c748025aa34d9c96d0e7f735004

Xuanyi Electronic (Shanghai) Co., Ltd.

被这个木马利用的签名列表：

Open Source Developer, 东莞市迈强电子科技有限公司
Luca Marcone
Baoji zhihengtaiye co.,ltd
Jiangsu innovation safety assessment Co., Ltd.
Wemade Entertainment co.,Ltd
Beijing Chunbai Technology Development Co., Ltd
Fuqing Yuntan Network Tech Co.,Ltd.
Guangzhou Kingteller Technology Co.,Ltd.
Shenzhen Liantian Technology Co., Ltd
Xuanyi Electronic (Shanghai) Co., Ltd.
用来做伪装的游戏安装包：

木马功能分析：驱动部分，是一个名为KILLIS的设备，用来负责查杀进程操作：

驱动打开进程与结束进程：

驱动pid查找结束进程：


Ring3部分，是一个下载推广器，内置了一批推广列表，通过Base64编码：

解码后发现的木马推广列表：


木马的云控打点信息，收集客户端的mac地址，系统信息等提交云端，云端下发推广列表给木马推广执行：

木马检查杀软进程，包括360、腾讯和金山的软件进程：



木马注册插件：

木马创建服务，并向设备发送消息：

安全建议

针对国内众多下载站遭Killis木马污染的情况，360安全中心已将此情况进行通报，提醒各网站加强对推广资源的审核和管控，以免对用户造成损失。同时360安全产品也会对下载网站推广木马的行为进行风险提示。

针对广大网友，建议尽量选择安全可靠的渠道进行下载。如果发现电脑自动安装了不请自来的软件，应及时全盘扫描杀毒，以防系统残留木马，对账号和数据安全造成更严重的风险。

wilist

还是不错的哦，顶了

若冰

还是不错的哦，顶了

ayang

感谢楼主的分享~

H.U.C-麦麦

支持，看起来不错呢！

HUC-参谋长

支持，看起来不错呢！

borall

支持中国红客联盟(ihonker.org)

xiaoqqf4

wilist

支持，看起来不错呢！

cl476874045

支持中国红客联盟(ihonker.org)