近期,火绒安全实验室根据用户反馈,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,目前感染量达数万台。该病毒被植入终端后,会通过下载执行恶意驱动模块的方式,向用户实施捆绑安装、广告弹窗等恶意行为,严重威胁用户的信息安全。值得注意的是,该病毒仍在持续更新中,不排除后续下发新的恶意模块,添加新的恶意功能。目前,火绒安全软件已对该病毒进行拦截查杀。

火绒查杀图

21压缩下载界面

火绒安全实验室分析溯源发现,该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后,病毒会通过C&C服务器接收并执行病毒作者下发的各类指令,包括下载恶意模块,搜集用户访问的web站点信息,甚至具备恶意代理功能,可控制用户电脑作为流量跳板,使用户电脑成为黑客的代理服务器。同时,会在后台静默安装大量软件,造成电脑卡顿,还会定期弹出广告窗口。

今年315晚会,央视曝光了下载站的诸多乱象,如强制弹出、捆绑安装、诱骗下载等。火绒安全实验室近年来也在持续对下载站乱象进行关注,并曾多次曝光过病毒借助下载站传播的事件,由此可见下载站也已经成为病毒的主要传播渠道。

对此,火绒安全再次提醒广大用户,下载软件请通过官方网站;如必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒官方论坛求助,确保文件、程序安全后再运行,以免遭遇风险。

一、背景
病毒恶意行为执行流程图,如下图所示:

二、详细分析
“拉法日历”主程序
“拉法日历”主程序名为LFCalendar.exe,但其本身不具有日历相关软件功能,主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件,之后为恶意驱动创建启动项。相关代码,如下图所示:
创建恶意驱动启动项,相关代码,如下图所示:

恶意驱动主模块
udwnapi.sys为恶意驱动主模块,根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类,针对不同的受害者下发不同的恶意配置信息。
从C&C服务器获取恶意配置信息,相关代码,如下图所示:

接收到的恶意配置信息,如下图所示:

根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块。相关代码,如下图所示:

内存映射执行恶意驱动模块。相关代码,如下图所示:

恶意驱动过滤模块
该病毒会通过网络过滤驱动收集受害者访问的网址信息,当驱动检测到用户访问特定的站点时,即会弹出广告网页,被检测的网址包括:www.baidu.com 等。该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由 C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中,导致中毒用户的信息安全可能会受到不同程度侵害。
由C&C服务器判断是否弹出广告(pop.sys)
记录受害者访问的web网址,相关代码,如下图所示:

将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中。相关代码,如下图所示:

本地判断是否弹出广告(homepop.sys)
C&C服务器下发的本地网址过滤规则,如下图所示:

当网络过滤驱动检测到访问特定的网址时,将相关信息插入等待列表中,相关代码,如下图所示:

弹出广告网页(ExpFc64.dll)
推广模块会获取等待列表,并弹出广告。相关代码,如下图所示:

火绒剑检测到的行为信息,如下图所示:

恶意驱动代理模块
proxy.sys驱动代理模块,会使受害者终端成为黑客的代理服务器资源,来转发C&C服务器下发的的网络请求。恶意代理功能执行流程,如下图所示:

转发逻辑代码,如下图所示:
恶意推广模块
ExpFc.dll作为恶意推广模块,具有多种恶意推广手段,如:后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为,以提高相关病毒模块的隐蔽性。
注入Explorer
恶意驱动dll.sys通过HOOK TranslateMessage函数来执行Shellcode,相关代码,如下图所示:

Shellcode会将恶意推广模块内存映射进Explorer进程内存中,相关代码,如下图所示:

恶意推广行为
弹出广告网页相关代码,如下图所示:

后台静默安装推广软件,相关代码,如下图所示:

火绒拦截到的软件安装行为,如下图所示:

弹出广告窗口,相关代码,如下图所示:

三、溯源分析
火绒工程师通过对“拉法日历“进行溯源分析,发现该程序以静默安装包的形式被推广到用户电脑上,在用户并不知情的情况下被安装上,该安装包的数字签名是上海九罗网络科技有限公司,相关信息,如下图所示:

对上海九罗网络科技有限公司进行溯源,产权信息,如下图所示:

在分析过程中,火绒工程师发现21压缩软件会推广此病毒程序,21压缩数字签名如下图所示:

对重庆智领云英教育科技有限公司进行溯源,确认21压缩为该公司所开发软件,产权信息,如下图所示:

对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播,虽然推广21压缩的高速下载器已经全部下架,但第三方下载站还存在大量21压缩相关软件。百度搜索“21压缩”,可以看到不同下载站关于21压缩的软件下载链接。相关信息,如下图所示:

四、附录
C&C服务器:

SHA256:

流氓软件“拉法日历”近期活跃 多数来自下载站相关推荐

  1. 小提琴机器人拉法_小提琴的拉琴姿势探讨

    小提琴的拉琴姿势部份有些复杂,大部分的人都认同,拉小提琴姿势一开始一定要学好,就像基础没有打好,以后会练不起来.如果观察拉小提琴的学生,拉的好的人姿势都不会太差,而拉不好的人姿势都很差,因此很容易做出 ...

  2. matlab程序里nbus=x的意思,MATLAB潮流程序(IEEE14 直角坐标 牛拉法)

    MATLAB潮流程序(IEEE14 直角坐标牛拉法)clear baseMVA=100; %功率基值 %%读Data1中数据 load Data1.txt Bus=Data1(:,1); %节点号 V ...

  3. 小提琴机器人拉法_小提琴的弓怎么拉 有什么技巧

    小提琴的弓是小提琴的灵魂,想学好小提琴的弓怎么拉是一件不容易的事情.接下来,小编为大家介绍小提琴的弓拉法,希望对大家会有用! 小提琴的弓拉法 要把弓拉得尽可能直,首先是演奏者要注意:琴弓与琴弦自始至终 ...

  4. 普渡大学统计与计算机科学,普渡大学西拉法叶校区之计算机科学系

    原标题:普渡大学西拉法叶校区之计算机科学系 普渡大学理学院开设的计算机科学系开设的研究生学位项目有哪些呢?我们邀请到了质朴留学的Rob老师来介绍: 计算机科学理学硕士-信息安全方向(MS in Inf ...

  5. 小提琴机器人拉法_好和弦 | [Ep.195]小提琴跟中提琴到底有多少种拉法?

    原标题:好和弦 | [Ep.195]小提琴跟中提琴到底有多少种拉法? 好和弦创始人:官大为 本文文字编辑:弦姐 编者按: 这节课,官大为老师要接着上节课的内容,给我们介绍小提琴和中提琴的演奏法啦,这次 ...

  6. MATLAB牛拉法计算潮流,matlab潮流计算

    <matlab潮流计算>由会员分享,可在线阅读,更多相关<matlab潮流计算(14页珍藏版)>请在装配图网上搜索. 1.附录1使用牛顿拉夫逊法进行潮流计算的Matlab程序代 ...

  7. powerworld电力系统仿真,潮流计算,短路计算,电力系统分析。潮流计算对比,牛拉法,PQ分解法对比

    powerworld电力系统仿真,潮流计算,短路计算,电力系统分析.潮流计算对比,牛拉法,PQ分解法对比 编号:1710662437866344电气女博士

  8. 美国普渡大学 计算机科学,普渡大学西拉法叶分校计算机科学系怎么样?

    回复时间:2018-01-05 20:12:06 计算机科学 基本信息 USNEWS排名 20 学费 $17,212 申请截止日期 12月15日 TOEFL要求 最低95 GPA要求 最低3.5 可申 ...

  9. 普度大学西拉法叶分校计算机硕士,普渡大学西拉法叶分校硕士申请条件

    普渡大学西拉法叶分校硕士应该怎样申请?申请条件是什么?需要什么材料?针对这些问题,出国留学网的小编为大家整理出这篇普渡大学西拉法叶分校硕士申请条件,希望可以帮助到您! Purdue U-West La ...

最新文章

  1. MongoDB应用场景
  2. JavaScript window.setTimeout() 的详细用法
  3. Vue+Openlayers实现加载天地图WMTS服务显示
  4. hive表指定分区字段搜索_Spark SQL解析查询parquet格式Hive表获取分区字段和查询条件...
  5. SpringBatch 写xml文件(StaxEventItemWriter)用法(十四)
  6. 两个mapreduce 做topn_Apache Hive 是怎样做基于代价的优化的?
  7. Scrcpy - 开源免费在电脑显示手机画面并控制手机的工具 (投屏/录屏/免Root)
  8. SpringApplication run方法解析:SpringApplicationRunListeners(二)
  9. 川崎机器人f控制柜接线图_Kawasaki川崎机器人控制柜维修
  10. oracle静默安装集群,Oracle RAC 静默安装实践
  11. TGA格式图片文件分析
  12. Shell中如何删除首行和尾行
  13. 分析力学复习笔记(更新中)
  14. 计算机系统的位的描述性定义,计算机系统中,“位(bit)”的描述性定义是()
  15. Oracle 11G 数据库字符集ZHS16GBK改为AL32UTF8(转载)
  16. Qt 简单计算器实现 附源码
  17. 发明三国杀游戏的计算机天才楼天城回母校杭十四中(楼教主orz)
  18. 【通信】数据通信网络
  19. SpringCloud- Ribbon 负载均衡 轮训算法
  20. android app启动 控制器,应用控制器app下载-应用控制器(整合70多个超强功能)下载V1.96安卓版本-西西软件下载...

热门文章

  1. asymptote 中使用中文
  2. rabbitmq 示例_PHP和RabbitMQ:高级示例
  3. 云加速——主机安全软件
  4. rtsp rtmp http 直播 点播
  5. java错误编码不可映射字符_“用于编码UTF-8的不可映射字符”错误
  6. 统一IE和世界之窗的User Agent标示(重启后生效)是什么意思啊
  7. easyexcel php,使用easyexcel进行简单的表格导入导出功能
  8. win7修复rpc服务器,教你win7系统rpc服务器不可用怎么办
  9. 一文讲透自适应熔断的原理和实现
  10. 2017考研——北邮计算机375分经验分享——不好意思发北邮人论坛或者QQ空间,先写在csdn上吧