网站页面竟是“病毒生成器“58联盟”肆意传播后门病毒

一、概述

通过对一系列病毒事件的研究和追踪，火绒团队挖掘出一个名为“58联盟”的黑色产业链——众多下游渠道从这里领取“任务”，向用户电脑植入后门病毒“Backdoor/Barhera”。该病毒通过锁首、设桌面图标、游戏退弹、暗刷流量等多种方式来牟取暴利，然后给下游渠道分成。

后门病毒“Backdoor/Barhera”利用四种方式盈利：锁定浏览器首页；在桌面生成广告图标；在用户关闭游戏窗口时弹出广告页面；在用户上网时跳转到指定网站进行刷量（包括腾讯视频和搜狗搜索等）。“58联盟”通过后门病毒，将用户浏览器首页锁定为360、搜狗等知名公司的导航站，从上述公司获得流量售卖收入，再和下游渠道分成。该病毒还会利用用户电脑刷量，从上述合作伙伴中骗取更多流量收入。

目前“58联盟”还在积极拓展变现方式，包括手机APP推广，甚至是利用电脑挖矿等。火绒数周前发布的“2345联盟”挖矿病毒报告中，挖矿木马“云计算”就是出自“58联盟”（详见火绒报告《“2345联盟”通过流氓软件推广挖矿工具 众多用户电脑沦为“肉鸡”》）。

请广大火绒用户放心，“火绒安全软件”无需升级，即可查杀后门病毒“Backdoor/Barhera”。非火绒用户，请尽快登陆火绒官网下载软件，即可防御、查杀该病毒。

二、溯源分析

近期， 火绒发现58联盟广告推广平台可以根据用户需求任意生成带有流量劫持功能的可执行程序，该程序会根据远程服务器请求到的配置文件下载任意可执行模块到用户计算机。被服务器下发的模块功能包括：劫持流量、隐藏进程、进程保护等功能。根据上述程序功能，我们将其定义为后门病毒（下文称其为：Backdoor/Barhera病毒）。

推广商在联盟对功能进行设置后，即可点击“软件下载”病毒生成页面，如下图所示：

安装包文件信息

病毒在运行时，会将运行日志发送至远端服务器（IP：123.59.137.181）。在火绒往期分析报告《"2345联盟"通过流氓软件推广挖矿工具 用户电脑沦为"肉鸡"》中，所提及的挖矿病毒也会向该IP地址发送运行日志，且目标端口相同，代码存在很高的相似性。相似代码，如下图所示：

详细代码比较（左为Backdoor/Barhera、右为挖矿病毒LoveCloud.exe）

通过反查IP地址我们找到了对应的域名（hxxp:// www.iiewl.com），该域名为58联盟母公司联创云科注册，且在Backdoor/Barhera中使用众多域名也均为联创云科注册。域名列表，如下图所示：

Backdoor/Barhera中使用的C&C域名

三、详细分析

病毒Backdoor/Barhera 会从上述域名服务器获取远程的更新策略和广告策略，更新策略用来下载更新病毒的功能组件，广告策略中则包含了广告推广内容等。

更新策略

该病毒的大部分数据请求过程完全相同，请求数据过程首先会发送加密压缩后的本地终端信息到服务器。数据如下图所示：

终端信息数据

经过加密压缩后数据，如下图所示：

加密后的终端信息

服务器收到数据后会获取到解密压缩后的更新策略数据，首先会调用解密函数进行解密。代码如下图所示：

解密代码

解密代码逻辑为先将每个字节数据加0x77，之后再亦或0x77完成解密。在执行完解密后，会调用解压函数进行解压。该病毒与C&C服务器的通讯流程全部相同，下文不再赘述。

代码如下图所示：

解压代码

在解密解压操作完成后，我们得到了原始的策略数据。原始数据为json格式的文本，在联盟网站功能全开后，我们可以获取到完整的更新策略数据。如下图所示：

更新策略（1）

更新策略（2）

策略中的json内容较为冗杂，我们将主要的属性节点进行举例说明。第一层节点属性说明，如下图所示：

节点属性说明

filelist节点中存放有需要下发的文件列表及相关操作信息，文件信息属性说明，如下图所示：

文件信息属性说明

参照上图说明，我们可以更好的理解前文中展示的更新策略内容。病毒下载至用户本地的程序大部分都会通过在文件附加数据上添加随机数据的方式随机文件的MD5，且个别文件会存放在随机名目录，该行为用来对抗“云查杀”。虽然病毒存在隐藏进程、隐藏文件等功能，但是暂时尚处于未开启状态。通过检测同局域网终端数量限制程序执行的属性mac_count，但并未进行检测，这也就意味着如果推广商向个人终端推广该程序时不会受到任何限制。

通过更新远端的更新策略可以下发任意模块至用户计算机进行执行，现阶段服务器下发的功能模块。nbvm.exe为从远程更新后的Backdoor/Barhera，下文简称为nbvm。在病毒执行过程中下载到功能模块后，均会将文件以随机文件名命名，在文章叙述中我们以原文件名为准。如下图所示：

功能模块

广告策略

广告策略的请求过程与更新策略大致相同，更新策略内容主要是描述如何利用更新策略下载到的功能模块进行流量劫持等功能，而且通过58联盟推广平台甚至还可以设置需要排除的IP地址。现阶段请求到的广告策略，如下图所示：

广告策略内容（1）

广告策略内容（2）

不同的广告策略内容分别对应不同的功能模块，下面以广告策略内容对不同模块功能进行举例。

首页功能

首页功能对应模块为browser_assister.exe。browser_assister.exe会将代码注入到explorer进程中，在用户通过explorer启动浏览器进程时，通过进程间通讯将启动事件传递给browser_assister.exe进程，browser_assister.exe会先结束原有浏览器进程，再由其加上劫持参数后启动浏览器进程。但是劫持被劫持后，所有浏览器进程都会被劫持到IE浏览器。劫持链接为：hxxp://index.woai310.com/index.htm?u=58260（搜狗搜索渠道号： sogou-netb-e22cb9d6bbb4c290-8260）或hxxp://www.jj123.com.cn/index.htm?u=s53051（搜狗导航：https://123.sogou.com/?71172-3051），最终跳转链接为搜狗流程，如下图所示：

劫持流程图

相关代码，如下图所示：

逻辑代码

结束原始浏览器进程时，依次会尝试调用API EndTask、TerminateProcess劫持进程，如果最后都没有成功则会尝试调用nbvm_x86.sys或nbvm_x64.sys驱动结束。如下图所示：

逻辑代码

启动新的IE进程代码逻辑，如下图所示：

启动

桌面图标

该功能由nbvm调用dticon.dll调用系统COM组件创建桌面图标，在注册表中可以找到图标所对应的启动信息。如下图所示：

桌面图标启动的相关的注册表信息

在点击图标后，会调用popwin.exe程序弹出推广游戏页面。如下图所示：

桌面图标点击启动页面

创建图表注册表键值相关代码，如下图所示：

逻辑代码

游戏退弹

该功能首先会遍历进程，将所有进程模块路径进行记录。当遍历发现进程退出时，匹配广告策略中的进程名关键字并检测进程运行时间，当关闭程序已经时间大于限制时间时，调用popwin.exe弹出广告窗口。广告窗口，如下图所示：

广告窗口

相关代码，如下图所示：

遍历进程路径

策略判断逻辑

流量云

虽然在58联盟平台页面上该功能被称作“流量云”，但是在广告策略中“spy”才是该模块的内部名称。如下图所示：

“流量云”对应的广告策略

该模块是一个点击器病毒，在运行之后首先会创建一个IE控件，之后加载远程脚本执行其点击逻辑。获取到的远程脚本，关键逻辑如下图所示：

远程脚本

上图关键脚本执行后，会从远端服务器hxxp:// splog.ccvfast.top:5000请求到用来暗刷的JavaScript脚本。关键代码，如下图所示：

脚本代码

上图脚本会在远端服务器hxxp://120.132.7.168:5008获取到需要进行刷点击量网址信息，url属性中存放的就是需要刷点击量的网址。如下图所示：

网址信息

暗刷的相关代码逻辑，首先会使浏览器访问指定页面，在访问后该病毒会再启动一个自身进程，并随机等待30~50秒（如上图配置中start_random和end_random属性）然后继续暗刷。如下图所示：

刷量脚本代码

暗刷的页面窗口显示后，我们可以看到暗刷的腾讯视频页面。如下图所示：

视频页面

病毒还会把声音设置为0，屏蔽进程播放声音。代码如下图所示：

关闭进程音量代码

四、附录

文中涉及样本SHA256：

SHA256

c3a539a840e3c1758063ce412927ee6909f9bb77dd696377a3127df95f03e04f