【快訊】
根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)，火絨安全團(tuán)隊(duì)發(fā)現(xiàn)一款名為“流星加速器”的軟件，正通過(guò)各大下載站下載器進(jìn)行靜默推廣傳播，且攜帶惡意代{過(guò)}{濾}理模塊和后門(mén)模塊。用戶(hù)運(yùn)行該軟件后，就會(huì)激活這些病毒模塊。病毒可以控制用戶(hù)電腦，執(zhí)行任意命令。

由于“流星加速器”用戶(hù)數(shù)量較多，致使病毒影響的范圍較大，目前已感染上百萬(wàn)用戶(hù)，且感染量還在以單日超過(guò)10萬(wàn)的數(shù)量增長(zhǎng)，請(qǐng)廣大用戶(hù)小心防范?；鸾q安全軟件最新版可及時(shí)攔截、查殺上述病毒模塊，且不會(huì)損壞軟件的正常功能，請(qǐng)用戶(hù)放心使用。

根據(jù)火絨工程師分析，“流星加速器”運(yùn)行后會(huì)釋放兩個(gè)病毒模塊，其中一個(gè)具備惡意代{過(guò)}{濾}理功能，可控制用戶(hù)電腦作為流量跳板；另一個(gè)模塊具備后門(mén)功能，可執(zhí)行任意遠(yuǎn)程指令，危害嚴(yán)重。此外，當(dāng)用戶(hù)卸載“流星加速器”后，上述病毒模塊會(huì)依舊駐留用戶(hù)電腦中，繼續(xù)作惡。

通過(guò)進(jìn)一步溯源調(diào)查，火絨工程師發(fā)現(xiàn)“流星加速器”所屬公司旗下存在大量與數(shù)據(jù)爬蟲(chóng)采集、流量代{過(guò)}{濾}理加速等相關(guān)產(chǎn)品。據(jù)此，不排除該企業(yè)利用上述病毒，控制用戶(hù)電腦并投入商業(yè)使用，從而獲得盈利的可能。
附：【分析報(bào)告】

一、? ? ? ? 詳細(xì)分析
最近我們發(fā)現(xiàn)一組具有惡意代{過(guò)}{濾}理功能（LocalNetwork.exe）及后門(mén)功能（SecurityGuard.exe）的程序模塊。經(jīng)溯源發(fā)現(xiàn)，這兩個(gè)惡意模塊均由流星加速器安裝包所釋放、運(yùn)行，且當(dāng)流星加速器被卸載之后，上述惡意模塊仍然殘留在用戶(hù)電腦中。帶有惡意模塊的流星加速器安裝包是由下載器所靜默推廣，此次涉及到的下載站有中關(guān)村在線（zol.com.cn）等。相關(guān)信息如下圖所示：

下載器推廣截圖

軟件安裝包數(shù)字簽名信息

惡意模塊簽名信息

當(dāng)流星加速器被下載器靜默推廣安裝之后，便會(huì)在安裝目錄釋放惡意代{過(guò)}{濾}理模塊LocalNetwork.exe與后門(mén)模塊SecurityGuard.exe。釋放完成后，LXInstall.exe將創(chuàng)建C:\Program Files\Microsoft App文件夾并將LocalNetwork.exe移動(dòng)到其中，隨后啟動(dòng)LocalNetworkFlowService服務(wù)。同時(shí)LXInstall.exe會(huì)將SecurityGuard.exe移動(dòng)到C:\Windows目錄下并啟動(dòng)執(zhí)行。相關(guān)動(dòng)作如下圖所示：

執(zhí)行動(dòng)作信息

LocalNetwork模塊
LocalNetwork.exe會(huì)通過(guò)接收C&C服務(wù)器（58.218.92.196）的代{過(guò)}{濾}理策略，執(zhí)行代{過(guò)}{濾}理邏輯轉(zhuǎn)發(fā)服務(wù)器下發(fā)的數(shù)據(jù)流量，在未經(jīng)用戶(hù)允許的情況下占用用戶(hù)的網(wǎng)絡(luò)資源，使用戶(hù)機(jī)器淪為幫助其牟取利益的工具。LocalNetwork.exe作為服務(wù)運(yùn)行之后，首先會(huì)收集用戶(hù)主機(jī)系統(tǒng)信息并將其加密發(fā)送至C&C服務(wù)器（yxjs.diaodu.ssot.net）。隨后C&C服務(wù)器回傳代{過(guò)}{濾}理通信服務(wù)器的地址信息，相關(guān)代碼如下圖所示：

獲取主機(jī)相關(guān)信息

獲取到的主機(jī)信息

連接C&C服務(wù)器

獲取到的代{過(guò)}{濾}理通信服務(wù)器地址

當(dāng)?shù)玫酱鷞過(guò)}{濾}理通信服務(wù)器地址之后，LocalNetwork.exe便會(huì)與之連接，獲取所需的代{過(guò)}{濾}理策略。之后，LocalNetwork.exe根據(jù)下放的代{過(guò)}{濾}理策略訪問(wèn)目標(biāo)網(wǎng)頁(yè)，若訪問(wèn)成功，則返回目標(biāo)網(wǎng)頁(yè)相關(guān)信息。詳細(xì)的通信流程，如下圖所示：

通訊流程圖

收到的代{過(guò)}{濾}理策略及數(shù)據(jù)傳輸內(nèi)容，如下圖所示：

收到的代{過(guò)}{濾}理策略信息

數(shù)據(jù)傳輸圖

此外，我們還發(fā)現(xiàn)流星加速器主程序（liuxing.exe）會(huì)創(chuàng)建線程每隔2秒就會(huì)檢測(cè)LocalNetwork.exe進(jìn)程是否存在，如果不存在，則會(huì)執(zhí)行其軟件安裝目錄下的LocalNetwork.exe。由于當(dāng)前版本的流星加速器所釋放的LocalNetwork.exe惡意代{過(guò)}{濾}理模塊已經(jīng)不在其軟件安裝目錄中，上述執(zhí)行邏輯已經(jīng)失效，我們會(huì)對(duì)其主程序模塊的更新進(jìn)行持續(xù)追蹤。相關(guān)邏輯，如下圖所示：

相關(guān)代碼

檢測(cè)啟動(dòng)LocalNetwork.exe相關(guān)代碼

SecurityGuard模塊
SecurityGuard.exe模塊的主要功能就是將自身注冊(cè)為服務(wù)并接收C&C服務(wù)器（api.jm.taolop.com）下發(fā)的后門(mén)命令控制碼來(lái)執(zhí)行不同的后門(mén)功能，如：更新模塊，創(chuàng)建、刪除服務(wù)，運(yùn)行遠(yuǎn)程命令。相關(guān)代碼如下圖所示：

連接C&C服務(wù)器并接收后門(mén)控制碼

執(zhí)行后門(mén)功能

二、? ? ? ? 溯源分析
此外，我們根據(jù)惡意模塊的簽名信息“江蘇靈匠信息科技有限公司”發(fā)現(xiàn)其旗下存在大量與數(shù)據(jù)爬蟲(chóng)采集，流量代{過(guò)}{濾}理加速等有關(guān)產(chǎn)品，相關(guān)信息如下圖所示：

江蘇靈匠信息科技有限公司旗下部分產(chǎn)品

僅以芝麻代{過(guò)}{濾}理為例，今日活躍的代{過(guò)}{濾}理IP數(shù)量為200萬(wàn)左右與我們?cè)诨鸾q終端威脅情報(bào)系統(tǒng)中所監(jiān)測(cè)到的該病毒感染數(shù)量較為相近，官網(wǎng)頁(yè)面如下圖所示：

芝麻代{過(guò)}{濾}理官網(wǎng)

三、? ? ? ? 附錄
病毒hash