火绒曝光知名压缩软件“快压”传播病毒和多款流氓软件 劫持流量

一、     概述

日前，火绒安全团队发现，知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”，该木马病毒会劫持被感染电脑浏览器首页；此外，“快压”还会推广其他流氓软件，其自身也存在流氓行为：弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载，传播范围极广。建议近期下载过该软件的用户尽快使用“火绒安全软件”对电脑进行扫描查杀。

图1：“快压”给用户电脑强制推广软件

用户从下载站下载“快压”并安装时，“快压”会像病毒躲避安全软件查杀一样，判断用户电脑中有没有安全软件，如果没有，则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件，该软件携带木马病毒“Trojan/StartPage.ff”。病毒入侵电脑后，会劫持用户首页。

"快压”自身也存在多种流氓行为，会在用户电脑中弹出广告、创建“淘宝”、“百度”桌面快捷方式。并且“快压”会对抗拦截广告的软件和工具，以保证其推广弹窗不会被拦截。

图2：推广弹窗无关闭按钮

此外，“快压”还会推广“小黑记事本”、“ABC看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现，虽然“快压”为上海广乐网络科技有限公司旗下产品，“小黑记事本”、“ABC看图”为上海展盟网络科技有限公司产品，但两家公司的法人信息和注册邮箱均一致，或系同一团队制作。

“火绒安全软件”无需升级即可查杀木马病毒“Trojan/StartPage.ff”，将火绒升级到最新版，即可拦截“快压”上述流氓行为。

二、       病毒来源

近日，火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加，随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线，如下图所示：

近半年的感染量

火绒于2016年已查杀此病毒，目前大部分杀毒软件厂商也已查杀此病毒，该病毒在VirusTotal上的查杀情况，如下图所示：

该病毒在VirusTotal上的查杀情况

通过样本溯源分析，我们发现此类病毒属于一款叫“WinHome主页卫士”的 小程序 ，但是我们在互联网上并未找到此程序的官网，只找到其推广页面。如下图所示：

主页卫士推广界面

根据推广页面提示，该程序以静默安装包的形式被推广到用户电脑上，在用户并不知情的情况下被安装上，劫持浏览器首页。该安装包的数字签名是SHANGHAIZHANMENG NETWORK TECHNOLOGY CO.,LTD.（上海展盟网络科技有限公司）。其静默安装包属性，如下图所示：

主页卫士静默安装包属性

在分析过程中，我们发现快压压缩软件会推广此病毒程序，如下图所示：

快压推广主页卫士

快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件，并会根据配置文件中BlockedProcessList，和InjectBlockedProcessList判断360安全卫士，金山毒霸， 腾讯 电脑管家等多款杀毒软件的进程是否运行，以此来选择推广策略，例如，当360Tray.exe和kxetray.exe两个进程同时存在时，则不执行捆绑逻辑，以此来躲避杀毒软件，一般恶意代码才会使用这种判断逻辑。配置文件信息，如下图所示：

捆绑所需配置文件

三、       详细分析

1.   软件推广

除了捆绑下载锁首病毒之外，我们发现快压压缩软件在程序升级时会推广其他软件，具体推广逻辑如下所示。

快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件，该流氓软件会向云端 服务器 请求推广软件相关的策略信息，并根据当前用户的计算机环境，执行不同的推广策略，以此获取利益。KuaizipUpdate.exe文件属性，如下图所示：

KuaizipUpdate.exe文件属性

KuaizipUpdate.exe主要逻辑，如下图所示：

KuaizipUpdate.exe执行逻辑

KuaizipUpdate.exe运行时，会向hxxp://i.kpzip.com/n/tui/update_agency/kb.xml请求判断捆绑环境所需的策略文件，解密后的部分策略文件，如下图所示：

解密后策略文件

该策略文件中使用到的标签，如下图所示：

判断标签

KuaizipUpdate.exe会主动判断一些常见的杀毒软件进程，如下图所示：

KuaizipUpdate.exe判断的杀软进程

以如下策略为例，当渠道号为“rytx2_“且存在进程”QQPCRTP.exe”时，就从url对应的地址获取安装包下载路径和运行所需的命令行配置文件。

示例策略

获取的安装包下载路径和运行所需命令行配置文件，解密后，如下图所示：

配置文件

然后KuaizipUpdate.exe会解析配置文件中安装包的下载地址和运行参数，下载并运行安装包。安装包在运行之后会解析其参数，并创建KZTui.exe执行推广逻辑的进程。

拉起KZTui.exe

KZTui.exe在运行后会向hxxp://bundle.kpzip.com/n/kztui/kb/def.txt请求推广软件相关的配置信息。如下图所示：

推广软件配置文件

我们发现，被推广的软件中，有一半是属于上海展盟网络科技有限公司。被推广的软件列表，如下图所示：

被推广的软件列表

KZTui.exe会根据配置文件中对应的Reg字段来判断当前系统是否安装此类软件，并弹窗提示用户安装列表中未安装的三种软件，值得注意的是，此推广弹窗，并无关闭按钮。推广弹窗，如下图所示：

推广弹窗

除了捆绑软件之外，KZTui.exe还会在桌面创建垃圾快捷方式，如下图所示：

创建的桌面快捷方式

2.   广告弹窗

快压程序安装时，会在安装目录的x86目录下释放一个UpdateChecker.exe的流氓软件，文件描述为“快压检查更新程序”，文件属性，如下图所示：

UpdateChecker.exe文件属性

每次启动电脑之后，快压右键菜单拓展程序KuaiZipShell.dll会通过explorer.exe启动UpdateChecker.exe，火绒剑中观察其启动流程，如下图所示：

UpdateChecker.exe启动流程

UpdateChecker启动之后，会检测当前运行环境，并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程，如下图所示：

火绒剑监控UpdateChecker.exe运行流程

UpdateChecker运行之后，会向hxxp://i.kpzip.com/n/updatechecker/urls.xml请求配置文件，该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示：

url.xml解密后内容

之后会去配置文件中对应的地址请求判断条件相关的配置文件，以hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml为例，判断依据主要有是否勾选热点新闻，低版本和过白版本，特殊渠道，杀软坏境，以及时间段等，判断逻辑跟软件推广相关代码逻辑相同，此处不做赘述。解密后部分配置文件，如下图所示：

判断是否弹窗的配置文件

如果当前环境满足判断条件中的一种，就取kun_bang对应的url，该url对应的配置文件中存放要下载的广告程序网址，文件保存路径，以及执行时所需的参数，如下图所示：

下载弹窗程序所需的配置文件

由于配置文件是在云端可控的，该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序，弹窗广告程序文件夹，如下图所示：

随机路径+随机文件名的方式对抗弹窗拦截软件

下载的广告程序属性，如下图所示：

文件属性

小贴士和迷你新闻运行之后会弹广告窗口，如下图所示：

小贴士对应广告弹窗

迷你新闻广告弹窗

四、       同源性分析

经过火绒安全团队分析，上海广乐网络科技有限公司旗下产品快压（速压）和上海展盟网络科技有限公司旗下小黑记事本和ABC看图等软件均携带此类流氓软件。经过查询两家企业的注册信息，我们发现这两家公司的法定代表人是同一人，其注册邮箱也相同。企业注册信息对比，如下图所示：

两家企业的注册信息对比

两家企业旗下产品的部分文件属性，如下图所示：

快压安装包及携带的流氓程序属性

ABC看图安装包及携带的流氓程序属性

小黑记事本安装包及携带的流氓程序属性

快压迷你新闻页弹窗和ABC看图，小黑记事本对比，如下图所示：

迷你新闻弹窗对比

经过我们分析，发现其代码也具有高度相似性，且其运行时创建的互斥量也完全相同，部分代码比较，如下图所示：

代码相似性比较

五、       附录

文中涉及样本SHA256：