一、概述

今天说的暴风不是那个播放器，而是一个名为暴风的盗版系统激活工具。腾讯御见威胁情报中心发现多个软件下载站提供的暴风激活工具会传播Rootkit病毒，为独狼系列变种病毒。独狼系列Rootkit病毒极其活跃，最直观的中毒现象就是浏览器被劫持，经常弹出广告，莫名其妙被安装很多软件。电脑管家已多次进行披露，具体可参考文末提供的“独狼”系列分析文章。

本次发现的独狼新变种，除了和以往一样会进行主页锁定外，还会将payload注入系统进程, 随后联网获取配置文件，根据配置文件下载运行多个恶意文件，这些文件目前主要是广告弹窗及静默推装软件，随时可以转为传播挖矿、远程控制，勒索等危害更大的木马病毒。

木马运行流程图

二、母体分析

暴风激活工具运行后会在临时目录释放并运行两个可执行文件xtt000.exe，BaoFengSetup.exe。其中xtt000.exe其主要功能是释放独狼系列Rootkit到驱动目录并安装，Rootkit驱动文件为随机名称，如5B7CB551.sys。BaoFengSetup.exe会安装服务程序BaofengSever.exe，添加为开机启动项。

暴风激活工具

xtt000.exe运行后会释放独狼系列Rootkit到驱动目录并安装，创建注册表项VolmgrmntHome，感染成功后，访问tj.2345ae.com上报感染机器信息，收集上报的用户机器信息包括用户id, mac地址，系统版本等。此外直接访问tj.2345ae.com是一个商务统计系统。

商务统计页面

上报感染用户机器信息

Rootkit病毒

Rootkit病毒从代码架构，pdb信息，创建的设备名称都和独狼系列基本一致，为独狼系列Rootkit的最新变种，更详细的分析可参考独狼一，二系列分析。

PDB信息

完成初始化后会注册Minifilter文件过滤钩子，过滤掉安全软件对drivers目录的读写操作， 此外exprorer进程访问也会返回空，导致普通用户打开drivers文件夹后看不到任何文件。

此外还会调用ReplaceFileObjectName将自身文件路径重定向到系统文件，导致获取到的文件哈希及文件信息都是正常的系统文件信息。

注册文件过滤钩子

Drivers目录为空

创建TDI过滤设备\Device\CFPTcpFlt，设备会挂接到TCP上监控拦截TCP流量数据

网络流量监控

Rootkit病毒会解密一个dll文件注入到exprorer进程中，首先调用ZwCreateSection在exprorer进程中创建一个保护属性为可执行的节，随后将解密后的内容不断循环写进新创建的内存节中，注入的pe文件为一个dll文件，随后执行dll文件中的的内容

创建内存节

写入PE头

注入exprorer

应用层注入分析

注入exprorer的payload是一个downloader，会联网获取配置文件xtt00.ini，配置文件下载地址为https://tj.2345ae.com/down/xtt000.ini。配置文件中lkurls字段定义了要锁定主页的网址，browul字段定义了要劫持的浏览器，字段bsitx_x字段定义了要下载的木马文件的下载地址。

配置文件内容

获取到配置文件后，会解析配置文件中的内容，获取木马下载链接下载并执行。

调用URLDownloadToFileA进行下载，下载的文件保存在临时目录的一个随机名文件夹里，随后调用shellexecuteA运行木马文件。  

下载文件

运行下载回来的木马文件

配置文件中下载回来的文件较多，而且被频繁更换：

包括iexplore.exe(伪装为ie浏览器的木马文件)，GameInc.exe，2345Explorer_398456_silence.exe(2345浏览器安装包)，hb20181220.exe(支付宝红包广告弹窗)。

主页劫持

主页劫持的网址及劫持的浏览器信息在上文提到的配置文件中，Rootkit注册了进程创建回调，会通过篡改进程启动参数的形式进行主页劫持，目前根据配置文件会在浏览器的启动进程中添加劫持网址https://www.usdds.xyz/，最后会跳转到带推广id的 主页2345.com/23024-0025

进程创建回调

主页劫持

hb20181220.exe（广告弹窗）

hb20181220.exe是一个广告弹窗恶意进程，运行完成初始化后，会将广告弹窗窗口设置在桌面的右下角，随后弹支付宝的广告弹窗，下图为该恶意软件的代码框架。

代码框架

弹广告

三、安全建议

1.   建议用户尽量不用盗版系统激活工具，各种盗版激活工具已成为非常重要的病毒传播渠道，对杀毒软件报毒的激活工具，直接删除是最佳选择。

2.   已经中毒的用户可以使用电脑管家进行查杀。

IOCs

MD5：

aa10479212bc4ba6d6e6e40be25daa16（baofengsever.exe）

d00ba828a93e6d9657d11701720e0c63（iexplore.exe）

96822497896074dad85a342225a20d9a（gameinc.exe)

d37691f34b3766cdf1bcc67e5e2d78c0（hb20181220.exe)

678e4fe59b52dbb0d89e4de5873864e9（xtt000. exe)

279d36518a0ce2f4d06d9ee47e7612a5（b69dc8d2.sys）

URL：

hxxp://xl.tyd28.com/hb20181220.exe
hxxp://down.tj999.top/iexplore.exe
hxxp://oss-dll.nos-eastchina1.126.net/GameInc.exe

hxxp://tj.2345ae.com/down/xtt000.ini

参考资料

盗版Ghost系统携“独狼”Rootkit来袭，锁定浏览器主页超20款
https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

Rootkit病毒“独狼2”假冒激活工具传播，感染上万台电脑
https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow