電腦桌面上驚現 愛淘寶 快捷方式圖示
一天在看韓劇時,無意間看到桌面上出現一個 愛淘寶 快捷方式 圖示,以為是淘寶軟體,唉不對吧,
alimamaagent.exe是什麼鬼,不是淘寶.
近期11.11購物節,無數的網頁、軟體都充斥著“血拼雙11”的廣告,這時的電腦桌面如果多了幾個雙11相關的快捷方式,或者瀏覽器主頁被鎖定成推送網購內容的導航網站,你會不會認為這也是正常的呢?真實的情況卻是你的電腦很有可能中馬了。近期騰訊反病毒實驗室攔截到流氓軟體“多彩便籤”正在大量推廣一個偽裝成“阿里媽媽推廣程式”的木馬,該木馬強對抗殺軟,惡意鎖主頁,危害十分嚴重。
檔名:AlimamaAgent.exe
MD5:7c428f8759b9015409e87acfa50646c2
推廣渠道:多彩便籤
母體AlimamaAgent.exe行為
木馬母體偽裝成阿里媽媽推廣程式,其資源中放有三個檔案,一個是真正的阿里媽媽推廣程式AlimamaAgent.exe,一個是木馬檔案,另一個是配置檔案。母體執行後首先判斷系統啟動了多久,如果不超過5分鐘的話則釋放出木馬並執行,然後再釋放阿里媽媽推廣程式;如果已經超過5分鐘的話則只釋放阿里媽媽推廣程式,不釋放木馬。此方法可以繞過很多未重啟的自動化分析系統、沙盒等。同時系統剛啟動的數分鐘內通常是安全軟體防禦的薄弱時期,此時木馬往往可以乘虛而入,執行敏感操作。
木馬只在開機5分鐘內執行,用於繞過安全軟體主防和自動分析系統等
釋放真正AlimamaAgent.exe並執行,該檔案是阿里媽媽官方推廣程式,主要功能是在桌面釋放兩個快捷方式進行相關推廣,雙11是其推廣的主題
木馬sbffdm.exe行為
Sbffdm.exe是木馬的安裝程式,其功能是釋放出木馬的主功能檔案並載入,總共會釋放3個驅動檔案、1個exe檔案和1個dll檔案。同時該木馬會判斷自身檔名,如果不符合規則,則直接退出程式,可能是用於繞過自動分析軟體的分析。
釋放CmBatt2.sys、secdrv2.sys、stisvc2.sys、zystatic.exe、zyinstall.dll五個檔案,木馬會首先判斷系統型別,如果是64位系統,則釋放的驅動為64位驅動
呼叫zyinstall.dll的介面,實現載入3個驅動檔案
驅動CmBatt2.sys行為
CmpBatt2.sys主要用於鎖定瀏覽器主頁,鎖主頁的方式是通過註冊建立程序回撥,在回撥函式中比較程序名的CRC32值,如果在列表中(木馬內建了一個各種瀏覽器程序名的CRC32列表),則通過新增命令列的方式進行主頁鎖定。同時,該檔案還負責清除與主頁保護相關的其它檔案。
可能為了免殺,該木馬並未內建瀏覽器名稱
木馬的網路行為: 建立到一個指定的套接字連線;按名稱獲取主機地址;
ip.taobao.com
mmstat.ucweb.com
www.taobao.com
修改登錄檔
Hkey_users/s-1-6-20-579966832-365622319-2027556190-1000/software/AlimamaShortcuts
建立檔案 debug.log
先把機器的主機板序列號和硬碟序列號拿到了,試圖建立或者更新工作列快捷方式的時候發生了錯誤。
木馬最終實現的鎖主頁效果
木馬總是藉著各種熱點進行傳播,在各大網站和各種圈子都被雙11購物節刷屏的時候,管家提醒使用者更要保護電腦安全,注意桌面圖示、瀏覽器主頁的變化,木馬有可能借著雙11的契機在你電腦上安家落戶。如果發現主頁被鎖或者桌面莫名增加了圖示,請及時檢查防毒。
雙11過後,又是雙12 , 請大家注意了。 嚇壞寶寶了。