查看: 122027|回复: 484

网络资源重污染:超过20家知名下载站植入Killis木马

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-9-23 16:50:51 | 显示全部楼层 |阅读模式
    Xcode编译器引发的苹果病毒大爆发事件还未平息,又一起严重的网络资源带毒事故出现在PC互联网上。这是一个名为Killis(杀是)的驱动级木马,该木马覆盖国内二十余家知名下载站,通过各大下载站的下载器或各种热门资源传播,具有云控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测,最近10小时内,Killis木马已经攻击了50多万台电脑。

    Killis木马传播:下载站隐蔽推广

    下载站遍布暗雷的广告位诱导早已不是什么新鲜事了。但试问:即便是如同枪林弹雨中左躲右闪的士兵一样躲过了所有的“陷阱”,你就安全了么?

    答案是否定的,因为Killis木马的源头就隐藏在一些知名下载站的真实下载地址中。以国内某大型下载站为例,当用户点击一些资源的真实下载地址后,下载回来的首先是一个下载器(http://down10.zol.com.cn/zoldown ... .2394@81_114617.exe):
    14429859312101.jpg
    这个程序运行后,除了为用户下载原本需要的资源以外,它同时会向服务器请求一个推广列表:
    14429859602635.jpg
    Killis木马就在这时进入电脑。再看带有Killis木马推广行为的下载站列表,只要你在国内下载站下载文件,几乎无可避免会遇到Killis木马的侵袭,此木马背后产业链的流量控制能力由此可见一斑:

    绿茶软件园

    http://www.33lc.com

    http://xiazaiqi2.33lc.com/down/media%20player播放器@133_48306.exe

    统一下载站

    http://www.3987.com

    http://xiazaiqi2.3987.com/down/Adobe%20Flash%20Player%2064位下载%20v19.0.0.162%20官方最新版@135_42151.exe

    当游网

    http://www.3h3.com  

    http://url.3h3.com/down/欧洲卡车模拟2真实中国加油站及油价MOD@132_34852.exe

    飞翔下载

    http://www.52z.com

    http://url.52z.com/down/QQ空间进入权限破解器@13_162077.exe

    起点下载

    http://www.cncrk.com

    http://url.cncrk.com/down/语音自动生成器%20V1.0%20绿色免费版@25_70621.exe

    星星软件站

    http://www.cnd8.com

    http://url.cnd8.com/down/通达oa2009破解版@128_639.exe   已失效

    非凡软件站  

    http://crsky.com

    http://url.crsky.com/down/fyspw-v7.1@62_29616.exe   已失效

    多多软件站

    http://www.ddooo.com

    http://url.ddooo.com/down/realte ... ontroller%28realtek网卡驱动%29+for+xp-vista-win7最新版@48_53648.exe

    当下软件园  

    http://www.downxia.com

    http://url.downxia.com/down/音频文件转换精灵%20V2.0%20官方免费版@34_86930.exe

    软件E线下载

    http://edowning.net

    http://url.edowning.net/down/爱普生Epson+L1300驱动+for+xp-win7+免费版@16_82695.exe

    华彩软件站  

    http://huacolor.com

    http://url.huacolor.com/down/广联达G+工作台5.2.13.858官方版@35_103052.exe

    软件盒子

    http://itopdog.cn

    http://url.itopdog.cn/down/天正建筑(附注册机)@69_2692.exe

    极速下载站

    http://www.jisuxz.com

    http://url.jisuxz.com/down/亲淘@77_46622.exe

    未来软件园

    http://www.orsoon.com

    http://url.orsoon.com/down/AIDA64%20Extreme%20Edition(硬件检测)@24_11647.exe

    天空下载站  

    http://www.skycn.com

    http://down10.zol.com.cn/skycndownernew/zuma_20100606@83_965.exe

    使用ZOL下载服务器

    数码资源网

    http://www.smzy.com

    http://url.smzy.com/down/Imatest (数码影像测试软件) v3.4 免费版@41_115257.exe

    玩游戏网

    http://www.wanyx.com

    http://url.52lishi.com/down/红色警戒2:尤里的复仇%20无敌修改器(加三星)@54_18387.exe%EF%BC%89@54_18387.exe

    XP系统之家

    http://www.xp510.com

    http://xiazaiqi2.xp510.com/down/优酷客户端官方下载+v6.0.0.3261+绿色便携版@136_22757.exe

    系统天堂

    http://xpgod.com

    http://xiazaiqi2.xpgod.com/down/一起作业下载桌面版2015最新版@134_19132.exe

    中关村在线

    http://www.zol.com.cn

    http://down10.zol.com.cn/zoldown ... .2394@81_114617.exe

    太平洋下载

    http://www.pconline.com.cn

    http://dl-xzq.pconline.com.cn/down/五笔拼音输入法2015@131_359408.exe

    华军软件园

    http://www.onlinedown.net

    http://www.onlinedown.net/api/in ... afe40dde8eb3150e71c

    KILLIS木马分析:AV终结者+全功能流氓推广器

    Killis木马伪装成“传奇霸业”的端游客户端,并利用一些公司泄露的过期签名,为自己签发木马。而这个游戏客户端只是个幌子,木马真正的功能是将用户计算机做为一个刷量终端,不断的进行推广。此木马可以云控安装软件,安装插件,放桌面放快捷方式,改桌面快捷方式,改桌面图标,杀指定进程。Killis作为一个全功能的推广器隐藏在受害用户计算机中,并且还有一个杀进程驱动,用来结束多家杀软的进程,防止木马推广被拦截。

    木马原始包:629c04c150ef632b098fe65cf3ff3b60
    14429861053519.jpg
    木马驱动,带有一个过期的签名:4f504c748025aa34d9c96d0e7f735004

    Xuanyi Electronic (Shanghai) Co., Ltd.
    14429861496187.jpg
    被这个木马利用的签名列表:

    Open Source Developer, 东莞市迈强电子科技有限公司
    Luca Marcone
    Baoji zhihengtaiye co.,ltd
    Jiangsu innovation safety assessment Co., Ltd.
    Wemade Entertainment co.,Ltd
    Beijing Chunbai Technology Development Co., Ltd
    Fuqing Yuntan Network Tech Co.,Ltd.
    Guangzhou Kingteller Technology Co.,Ltd.
    Shenzhen Liantian Technology Co., Ltd
    Xuanyi Electronic (Shanghai) Co., Ltd.
    用来做伪装的游戏安装包:
    1442986185432.jpg
    木马功能分析:驱动部分,是一个名为KILLIS的设备,用来负责查杀进程操作:
    14429862237244.jpg
    驱动打开进程与结束进程:
    14429862638235.jpg
    驱动pid查找结束进程:
    14429863163411.jpg
    1442986328131.jpg
    Ring3部分,是一个下载推广器,内置了一批推广列表,通过Base64编码:
    14429863659747.jpg
    解码后发现的木马推广列表:
    14429897157004.jpg
    1442989729168.jpg
    木马的云控打点信息,收集客户端的mac地址,系统信息等提交云端,云端下发推广列表给木马推广执行:
    14429864061819.jpg
    木马检查杀软进程,包括360、腾讯和金山的软件进程:

    2.jpg
    14429871169299.jpg
    木马注册插件:
    14429871461451.jpg
    木马创建服务,并向设备发送消息:
    14429875235800.jpg
    安全建议

    针对国内众多下载站遭Killis木马污染的情况,360安全中心已将此情况进行通报,提醒各网站加强对推广资源的审核和管控,以免对用户造成损失。同时360安全产品也会对下载网站推广木马的行为进行风险提示。

    针对广大网友,建议尽量选择安全可靠的渠道进行下载。如果发现电脑自动安装了不请自来的软件,应及时全盘扫描杀毒,以防系统残留木马,对账号和数据安全造成更严重的风险。
    14429861496187.jpg
    1.jpg
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-9-24 11:00:47 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-24 14:11:37 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-24 19:22:18 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-24 20:09:36 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-26 02:23:30 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-26 13:02:01 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-9-27 06:41:06 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-9-28 16:04:56 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-9-29 03:55:39 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 03:57 , Processed in 0.023359 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部