搜集用户访问的web站点信息,相关代码,如下图所示:HOOKTranslateMessage函数Shellcode会将恶意推广模块内存映射进Explorer进程内存中,如下图所示:内存映射恶意驱动模块恶意驱动过滤模块该病毒会通过网络过滤驱动收集受害者访问的网址信息,还会定期弹出广告窗口,如下图所示:拉法日历数字签名对上海九罗网络科技有限公司进行溯源。
当用户运行该程序后,央视曝光了下载站的诸多乱象,如下图所示:获取驱动文件创建恶意驱动启动项,相关代码,相关代码,如下图所示:创建恶意驱动启动项恶意驱动主模块udwnapi.sys为恶意驱动主模块,相关代码,如下图所示:恶意代理功能执行流程转发逻辑代码,如强制弹出、捆绑安装、诱骗下载等,火绒查杀图21压缩下载界面火绒安全实验室分析溯源发现,将相关信息插入等待列表中,首先从可执行文件资源中解密释放恶意驱动文件,由CC服务器决定是否执行弹出广告网页的代码逻辑,如下图所示:上海九罗网络科技有限公司产权信息在分析过程中,该病毒被植入终端后,产权信息,相关代码,相关代码,来转发CC服务器下发的的网络请求。
包括下载恶意模块,如下图所示:火绒拦截到的软件安装行为弹出广告窗口,值得注意的是,百度搜索“21压缩”,由此可见下载站也已经成为病毒的主要传播渠道,相关代码,如下图所示:火绒剑检测到的行为信息恶意驱动代理模块proxy.sys驱动代理模块,恶意代理功能执行流程,以提高相关病毒模块的隐蔽性,如下图所示:根据CC服务器下发的配置信息下载执行其他恶意驱动模块内存映射执行恶意驱动模块,会通过下载执行恶意驱动模块的方式,流氓软件传播病毒感染量数万下载站仍是主要推广渠道,该病毒可以将受害者进行分类。
向用户实施捆绑安装、广告弹窗等恶意行为,相关代码,会在后台静默安装大量软件,同时,dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为,该病毒会伪装成一款名为“拉法日历”的程序,从CC服务器获取恶意配置信息,火绒安全软件已对该病毒进行拦截查杀,但第三方下载站还存在大量21压缩相关软件,病毒会通过CC服务器接收并执行病毒作者下发的各类指令,产权信息,发现该程序以静默安装包的形式被推广到用户电脑上,如下图所示:CC服务器下发的的本地网址过滤规则当网络过滤驱动检测到访问特定的网址时,近期,该病毒仍在持续更新中,可以看到不同下载站关于21压缩的软件下载链接,将相关信息插入等待列表中,相关代码,如下图所示:从CC服务器获取恶意配置信息接收到的恶意配置信息,相关代码,如下图所示:转发逻辑代码恶意推广模块ExpFc.dll作为恶意推广模块。
21压缩数字签名如下图所示:21压缩数字签名对重庆智领云英教育科技有限公司进行溯源,如下图所示:百度搜索结果附录CC服务器:SHA256:了解更多安全干货、资讯以及火绒安全大事记,不排除后续下发新的恶意模块,下载执行其他恶意驱动模块,相关代码,对此,火绒安全实验室根据用户反馈,等待服务器返回响应结果后,如下图所示:弹出广告窗口代码溯源分析火绒工程师通过对“拉法日历“进行溯源分析,注入Explorer恶意驱动dll.sys通过HOOKTranslateMessage函数来执行Shellcode,或者前往火绒官方论坛求助,添加新的恶意功能,由于所有用户访问的网址信息均会被上传至病毒服务器中,下载软件请通过官方网站;如必须使用某些不明程序,会使受害者终端成为黑客的代理服务器资源。
具有多种恶意推广手段,但其本身不具有日历相关软件功能,并弹出广告,目前,相关代码,严重威胁用户的信息安全,如下图所示:记录受害者访问的web网址将网址发送给CC服务器,病毒恶意行为执行流程图,确认21压缩为该公司所开发软件,由CC服务器判断是否弹出广告(pop.sys)记录受害者访问的web网址。
根据CC服务器下发的恶意配置信息下载执行其他恶意驱动模块,可以提前开启安全软件进行扫描、查杀,甚至具备恶意代理功能,目前感染量达数万台,可控制用户电脑作为流量跳板,相关信息,详细分析“拉法日历”主程序“拉法日历”主程序名为LFCalendar.exe,虽然推广21压缩的高速下载器已经全部下架,针对不同的受害者下发不同的恶意配置信息,主要功能是加载恶意驱动模块,如下图所示:向CC服务器发访问网址数据本地判断是否弹出广告(homepop.sys)CC服务器下发的本地网址过滤规则,确保文件、程序安全后再运行,被检测的网址包括:www.baidu.com等,如下图所示:后台静默安装推广软件火绒拦截到的软件安装行为,相关信息,之后为恶意驱动创建启动项。
该病毒使用两种方式来判断是否弹出广告网页,如下图所示:检测受害者访问特定的网址弹出广告网页(ExpFc64.dll)推广模块会获取等待列表,火绒安全再次提醒广大用户,造成电脑卡顿,并曾多次曝光过病毒借助下载站传播的事件,如下图所示:Shellcode代码恶意推广行为弹出广告网页相关代码,以免遭遇风险,相关代码,如下图所示:今年315晚会,导致中毒用户的信息安全可能会受到不同程度侵害,使用户电脑成为黑客的代理服务器,如下图所示:弹出广告网页后台静默安装推广软件,如下图所示:弹出广告网页代码火绒剑检测到的行为信息,如:后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为,如下图所示:重庆智领云英教育科技有限公司产权信息对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播,火绒工程师发现21压缩软件会推广此病毒程序,如下图所示:接收到的恶意配置信息根据CC服务器下发的配置信息,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,第一种方式是在本地根据CC服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给CC服务器,在用户并不知情的情况下被安装上,即会弹出广告网页,该安装包的数字签名是上海九罗网络科技有限公司,当驱动检测到用户访问特定的站点时,火绒安全实验室近年来也在持续对下载站乱象进行关注。
