腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,其传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器、flash player等知名软件。病毒下载器运行后会联网获取推广配置文件,根据配置文件的定义静默推装超过30款软件,此外还会通过锁定浏览器主页及添加网址收藏夹等获得收益。

根据腾讯安图高级威胁追溯系统统计,该病毒五月初开始活跃,每天中招下载的用户近万,累计已有数十万用户电脑被感染。

传播趋势

以flash player为例,在某搜索引擎里搜索关键字“flash player”,搜索结果第一条展示的就是伪装的flash player官方下载页面(带有广告字样)

通过搜索引擎广告来欺骗用户下载

点击进入后是一个名为“软件管家”的下载页面,点击该页面任一链接都会下载该病毒下载器。该病毒下载器的文件MD5会频繁变换更新,主要意图是防止安全软件检测后拦截。

假冒常用工具软件的下载页面

该病毒下载器运行后会发起请求获取配置文件,配置文件地址为:

hxxp://peizhi.bsrbt.com/xzqini/read.php/t_ads/mid_000C29A745B5/d_2019022109/n_xzq/c_xzq-/rgn_440000/ctd_440300/cnt_CN.gif,配置文件中有要推广安装的软件。

目前在该配置文件列表中有超过30款软件推广,只要用户一运行该病毒下载器,电脑便会静默安装包括“迅捷助手、模拟大师、灭神游戏、拷贝兔趣压”等一大堆软件,而不是安装用户通过搜索引擎寻找的那款软件。

云端配置文件的推装软件列表(总计超过30款)

除了软件推装,病毒还会篡改浏览器设置,添加收藏夹及进行主页劫持,通过云端下载Dll文件broagent_soft.dll进行添加包括天猫红包,淘宝购物等到收藏夹,Dll文件的下载地址也在云端的配置文件中。

添加若干个网址到收藏夹

通过篡改注册表网址导航及浏览器快捷方式启动参数的方式进行主页劫持,篡改的导航网址同样在配置文件中,浏览器以参数hxxp://990.jlbtcg.cn 启动,最后跳转到带推广id的某网址导航站。

篡改浏览器快捷方式启动参数

IOC:
DNS:
peizhi.bsrbt.com
dsoft.lkmzv.cn
down.ttp1.cn
MD5:
4f5a76433623c306f2de4828e18d4599
9a87ec896c9b029ef4eb55e1956612b9
776b1c0a68aa00c8b7473008164d36b3
b9e64c1bc2fdb434d3b09959735fd7d5
290fca119066d8ed090012a02393f72e
2e95fe28390b36365ad2d088b8446dbe
3fcf5fb527dbf90c2d888bd66102699a
3f79cbd01e8153224be4b0cca54c7a71
06929d1ebc78ed94782d968ed4caae80
791f5c1654a37aeb74d119ede603d271
a29f3b4c0efa274f69fe68dc808c766f
ba6138b0a49371a41b9aa92de4d1144a
fd65edb5a9c211120406eb309c51d018
77df998baabaa41d73997f0bc8960a28
8b7ebccf477faed3f7dcd8e2c07547a4
3c49530f2532d7d8fa2fa13b0137cba9
9c0c2006a63e8d0408dc67d9f79de720
3fda928d785e79bb40c9207e8595ba80
72771f431978b6bab01c5af6d574ce26
c5d4a09399b577961b4d8e9373338e09
3fca456aafeb975bbe2d4a352993d87b
a0a990e1e3cc60b11622cc82f49efc84
d48067609eec2559d286409fc5937d26
c548b185e55664a4e1819233e4b16c07
718a6c75760f8ad2e89b53a1e91da218
5d2536d26d1b12f534a5e347bd772343
edc70063bc2f59901e7b84d2a0920924
95ceaa05e50c3306489e7af79437313c
cc15e3e31c544a1025429217fc629e6c