激活工具也带毒，一批携带病毒的“小马激活工具”被火绒拦截

Posted 2022-10-15 程序员的店小二

关于部分网站发布带有木马 KMS 激活工具，一般来说，除非追根溯源将根源清理干净，否则这种现象基本会长期存在，即使短暂性被网络公开，不法分子仍会通过转移的方式多次实施犯罪。

近期，火绒安全实验室又拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息，并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件，不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒；【软件安装拦截】功能可拦截被推广的软件。

被推广的软件

病毒查杀图

通过百度搜索“激活工具”发现，排名靠前的三条搜索结果都在传播该病毒，这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。

百度搜索结果

进一步溯源该激活工具的网址hxxp://wd9.hmd888.top，发现该域名属于“桂林市木兮网络科技有限公司”，该公司的网站备案信息，如下图所示：

该公司网站备案信息

一、详细分析

病毒启动后会从远程服务器上下载恶意配置信息，并执行对应的恶意行为，如：下载、执行任意文件，后台静默安装软件等。病毒的执行流程，如下图所示：

病毒的执行流程

Setup_Activator.exe是初始化模块，该模块是个Autoit脚本编译的，并使用混淆手段来躲避杀毒软件查杀。相关代码，如下图所示：

被混淆的代码

将其去混淆后，发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块，并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码，如下图所示：

释放激活工具和恶意模块代码

为恶意模块创建任务计划进行持久化，每次开机的时候都会启动。相关代码，如下图所示：

创建计划任务进行持久化

根据系统版本来执行不同的激活工具。相关代码，如下图所示：

根据系统版本的不同执行不同的激活工具

在kmsactivation.exe模块中，首先从

hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt获取恶意配置信息，再根据恶意配置信息来执行特定的恶意行为，如：下载、执行任意文件，后台静默安装软件等。相关恶意配置信息，如下图所示：

恶意配置信息

根据恶意配置信息下载、执行任意文件。相关代码，如下图所示：

根据恶意配置信息下载、执行任意文件

该模块还会过滤指定城市，对指定城市以外的地方，额外安装一些软件（腾讯电脑管家），获取用户当前所在城市。相关代码，如下图所示：

过滤用户所在城市

根据恶意配置信息，后台静默推广软件，并对指定城市以外的地方，额外安装一些软件（腾讯电脑管家）。相关代码，如下图所示：

后台静默推广软件

二、附录

C&C服务器列表：

病毒HASH：