據(jù)火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè)，有黑客團(tuán)伙通過偽造官網(wǎng)并購買谷歌搜索引擎排名傳播后門病毒，主要針對(duì)海外中文用戶。該病毒被激活后，黑客可以執(zhí)行任意命令。目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺，請(qǐng)用戶及時(shí)更新病毒庫以進(jìn)行防御。

該黑客團(tuán)伙將偽造的網(wǎng)站投放到搜索排名第一位，誘導(dǎo)用戶下載。這些網(wǎng)站內(nèi)容也與真正的官網(wǎng)極其相似，并且大多使用的是中文，提供的軟件也是中文版本，以”搜狗輸入法“為例：

進(jìn)入頁面后，頁面的網(wǎng)址也與真正官網(wǎng)的網(wǎng)址非常相似，用戶很有可能會(huì)誤認(rèn)為是合法網(wǎng)站，頁面如下圖所示：

據(jù)火絨威脅情報(bào)系統(tǒng)顯示，該病毒從4月份開始活躍，其傳播趨勢(shì)如下圖所示：

黑客團(tuán)伙偽造的大多為流行軟件官網(wǎng)，火絨目前檢測(cè)到的盜版軟件列表如下圖所示：

用戶運(yùn)行通過搜索引擎下載的偽造安裝包之后，程序就會(huì)釋放病毒文件，隨后執(zhí)行黑客下發(fā)的命令及擴(kuò)展模塊等惡意行為，該病毒的執(zhí)行流程，如下圖所示：

一、樣本分析

以假冒搜狗輸入法為例，當(dāng)偽造的安裝包被運(yùn)行之后，會(huì)釋放msi程序由msi程序釋放病毒文件以及搜狗輸入法真安裝包到Roaming\搜狗輸入法酷爽版\目錄中并運(yùn)行，火絨劍監(jiān)控到的行為，如下圖所示：

病毒使用白加黑的方式來對(duì)抗殺毒軟件的查殺，awesomium.exe會(huì)調(diào)用病毒文件awesomium.dll，在該dll中會(huì)讀取xml_update.ini（shellcode）文件的內(nèi)容并解密執(zhí)行，相關(guān)代碼，如下圖所示：

在shellcode中會(huì)內(nèi)存加載后門模塊，相關(guān)代碼，如下圖所示：

在后門模塊中會(huì)向注冊(cè)表中添加自啟動(dòng)項(xiàng)來進(jìn)行持久化，如下圖所示：

該后門模塊還可以根據(jù)CC服務(wù)器下發(fā)的指令來執(zhí)行各種惡意功能，以一些較為重要的惡意功能進(jìn)行舉例說明，如：執(zhí)行C&C服務(wù)器下發(fā)的任意命令，相關(guān)代碼，如下圖所示：

從指定URL下載、執(zhí)行任意惡意模塊，相關(guān)代碼，如下圖所示：

該病毒大部分惡意功能通過插件的形式進(jìn)行下發(fā)，接收、執(zhí)行C&C服務(wù)器下發(fā)的插件，相關(guān)代碼，如下圖所示；

二、附錄

C&C

HASH