一、概述


日前，火绒安全团队发现，知名压缩软件"快压"正在传播木马病毒"Trojan/StartPage.ff"，该木马病毒会劫持被感染电脑浏览器首页；此外，"快压"还会推广其他流氓软件，其自身也存在流氓行为：弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供"快压"软件下载，传播范围极广。建议近期下载过该软件的用户尽快使用"火绒安全软件"对电脑进行扫描查杀。



图1："快压"给用户电脑强制推广软件
用户从下载站下载"快压"并安装时，"快压"会像病毒躲避安全软件查杀一样，判断用户电脑中有没有安全软件，如果没有，则会给用户电脑捆绑安装一款名为"WinHome主页卫士"的软件，该软件携带木马病毒"Trojan/StartPage.ff"。病毒入侵电脑后，会劫持用户首页。
快压"自身也存在多种流氓行为，会在用户电脑中弹出广告、创建"淘宝"、"百度"桌面快捷方式。并且"快压"会对抗拦截广告的软件和工具，以保证其推广弹窗不会被拦截。



图2：推广弹窗无关闭按钮
此外，"快压"还会推广"小黑记事本"、"ABC看图"等多款流氓软件。火绒工程师通过查询企业注册信息发现，虽然"快压"为上海广乐网络科技有限公司旗下产品，"小黑记事本"、"ABC看图"为上海展盟网络科技有限公司产品，但两家公司的法人信息和注册邮箱均一致，或系同一团队制作。



"火绒安全软件"无需升级即可查杀木马病毒"Trojan/StartPage.ff"，将火绒升级到最新版，即可拦截"快压"上述流氓行为。

二、病毒来源
近日，火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加，随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线，如下图所示：



近半年的感染量
火绒于2016年已查杀此病毒，目前大部分杀毒软件厂商也已查杀此病毒，该病毒在VirusTotal上的查杀情况，如下图所示：



该病毒在VirusTotal上的查杀情况
通过样本溯源分析，我们发现此类病毒属于一款叫"WinHome主页卫士"的小程序，但是我们在互联网上并未找到此程序的官网，只找到其推广页面。如下图所示：



主页卫士推广界面
根据推广页面提示，该程序以静默安装包的形式被推广到用户电脑上，在用户并不知情的情况下被安装上，劫持浏览器首页。该安装包的数字签名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.（上海展盟网络科技有限公司）。其静默安装包属性，如下图所示：



主页卫士静默安装包属性
在分析过程中，我们发现快压压缩软件会推广此病毒程序，如下图所示：



快压推广主页卫士
快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件，并会根据配置文件中BlockedProcessList，和InjectBlockedProcessList判断360安全卫士，金山毒霸，腾讯电脑管家等多款杀毒软件的进程是否运行，以此来选择推广策略，例如，当360Tray.exe和kxetray.exe两个进程同时存在时，则不执行捆绑逻辑，以此来躲避杀毒软件，一般恶意代码才会使用这种判断逻辑。配置文件信息，如下图所示：



捆绑所需配置文件

三、详细分析
1.软件推广
除了捆绑下载锁首病毒之外，我们发现快压压缩软件在程序升级时会推广其他软件，具体推广逻辑如下所示。
快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件，该流氓软件会向云端服务器请求推广软件相关的策略信息，并根据当前用户的计算机环境，执行不同的推广策略，以此获取利益。KuaizipUpdate.exe文件属性，如下图所示：



KuaizipUpdate.exe文件属性
KuaizipUpdate.exe主要逻辑，如下图所示：



KuaizipUpdate.exe执行逻辑
KuaizipUpdate.exe运行时，会向hxxp://i.kpzip.com/n/tui/update_agency/kb.xml请求判断捆绑环境所需的策略文件，解密后的部分策略文件，如下图所示：



解密后策略文件
该策略文件中使用到的标签，如下图所示：



判断标签
KuaizipUpdate.exe会主动判断一些常见的杀毒软件进程，如下图所示：



KuaizipUpdate.exe判断的杀软进程
以如下策略为例，当渠道号为"rytx2_"且存在进程"QQPCRTP.exe"时，就从url对应的地址获取安装包下载路径和运行所需的命令行配置文件。



示例策略
获取的安装包下载路径和运行所需命令行配置文件，解密后，如下图所示：



配置文件
然后KuaizipUpdate.exe会解析配置文件中安装包的下载地址

本帖隐藏的内容

和运行参数，下载并运行安装包。安装包在运行之后会解析其参数，并创建KZTui.exe执行推广逻辑的进程。



拉起KZTui.exe
KZTui.exe在运行后会向hxxp://bundle.kpzip.com/n/kztui/kb/def.txt请求推广软件相关的配置信息。如下图所示：



推广软件配置文件
我们发现，被推广的软件中，有一半是属于上海展盟网络科技有限公司。被推广的软件列表，如下图所示：



被推广的软件列表
KZTui.exe会根据配置文件中对应的Reg字段来判断当前系统是否安装此类软件，并弹窗提示用户安装列表中未安装的三种软件，值得注意的是，此推广弹窗，并无关闭按钮。推广弹窗，如下图所示：



推广弹窗
除了捆绑软件之外，KZTui.exe还会在桌面创建垃圾快捷方式，如下图所示：



创建的桌面快捷方式
2.广告弹窗
快压程序安装时，会在安装目录的x86目录下释放一个UpdateChecker.exe的流氓软件，文件描述为"快压检查更新程序"，文件属性，如下图所示：



UpdateChecker.exe文件属性
每次启动电脑之后，快压右键菜单拓展程序KuaiZipShell.dll会通过explorer.exe启动UpdateChecker.exe，火绒剑中观察其启动流程，如下图所示：



UpdateChecker.exe启动流程
UpdateChecker启动之后，会检测当前运行环境，并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程，如下图所示：



火绒剑监控UpdateChecker.exe运行流程
UpdateChecker运行之后，会向hxxp://i.kpzip.com/n/updatechecker/urls.xml请求配置文件，该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示：



url.xml解密后内容
之后会去配置文件中对应的地址请求判断条件相关的配置文件，以hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml为例，判断依据主要有是否勾选热点新闻，低版本和过白版本，特殊渠道，杀软坏境，以及时间段等，判断逻辑跟软件推广相关代码逻辑相同，此处不做赘述。解密后部分配置文件，如下图所示：



判断是否弹窗的配置文件
如果当前环境满足判断条件中的一种，就取kun_bang对应的url，该url对应的配置文件中存放要下载的广告程序网址，文件保存路径，以及执行时所需的参数，如下图所示：



下载弹窗程序所需的配置文件
由于配置文件是在云端可控的，该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序，弹窗广告程序文件夹，如下图所示：



随机路径+随机文件名的方式对抗弹窗拦截软件
下载的广告程序属性，如下图所示：



文件属性
小贴士和迷你新闻运行之后会弹广告窗口，如下图所示：



小贴士对应广告弹窗



迷你新闻广告弹窗

四、同源性分析
经过火绒安全团队分析，上海广乐网络科技有限公司旗下产品快压（速压）和上海展盟网络科技有限公司旗下小黑记事本和ABC看图等软件均携带此类流氓软件。经过查询两家企业的注册信息，我们发现这两家公司的法定代表人是同一人，其注册邮箱也相同。企业注册信息对比，如下图所示：



两家企业的注册信息对比
两家企业旗下产品的部分文件属性，如下图所示：



快压安装包及携带的流氓程序属性



ABC看图安装包及携带的流氓程序属性



小黑记事本安装包及携带的流氓程序属性
快压迷你新闻页弹窗和ABC看图，小黑记事本对比，如下图所示：



迷你新闻弹窗对比
经过我们分析，发现其代码也具有高度相似性，且其运行时创建的互斥量也完全相同，部分代码比较，如下图所示：



代码相似性比较

五、
附录
文中涉及样本SHA256：

展开全文

一、概述


日前，火绒安全团队发现，知名压缩软件"快压"正在传播木马病毒"Trojan/StartPage.ff"，该木马病毒会劫持被感染电脑浏览器首页；此外，"快压"还会推广其他流氓软件，其自身也存在流氓行为：弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供"快压"软件下载，传播范围极广。建议近期下载过该软件的用户尽快使用"火绒安全软件"对电脑进行扫描查杀。



图1："快压"给用户电脑强制推广软件
用户从下载站下载"快压"并安装时，"快压"会像病毒躲避安全软件查杀一样，判断用户电脑中有没有安全软件，如果没有，则会给用户电脑捆绑安装一款名为"WinHome主页卫士"的软件，该软件携带木马病毒"Trojan/StartPage.ff"。病毒入侵电脑后，会劫持用户首页。
快压"自身也存在多种流氓行为，会在用户电脑中弹出广告、创建"淘宝"、"百度"桌面快捷方式。并且"快压"会对抗拦截广告的软件和工具，以保证其推广弹窗不会被拦截。



图2：推广弹窗无关闭按钮
此外，"快压"还会推广"小黑记事本"、"ABC看图"等多款流氓软件。火绒工程师通过查询企业注册信息发现，虽然"快压"为上海广乐网络科技有限公司旗下产品，"小黑记事本"、"ABC看图"为上海展盟网络科技有限公司产品，但两家公司的法人信息和注册邮箱均一致，或系同一团队制作。



"火绒安全软件"无需升级即可查杀木马病毒"Trojan/StartPage.ff"，将火绒升级到最新版，即可拦截"快压"上述流氓行为。

二、病毒来源
近日，火绒安全团队通过火绒威胁情报系统发现木马病毒Trojan/StartPage.ff的感染量在近一个月内迅速增加，随后我们对此病毒木马进行了溯源分析。该病毒近半年的感染量曲线，如下图所示：



近半年的感染量
火绒于2016年已查杀此病毒，目前大部分杀毒软件厂商也已查杀此病毒，该病毒在VirusTotal上的查杀情况，如下图所示：



该病毒在VirusTotal上的查杀情况
通过样本溯源分析，我们发现此类病毒属于一款叫"WinHome主页卫士"的小程序，但是我们在互联网上并未找到此程序的官网，只找到其推广页面。如下图所示：



主页卫士推广界面
根据推广页面提示，该程序以静默安装包的形式被推广到用户电脑上，在用户并不知情的情况下被安装上，劫持浏览器首页。该安装包的数字签名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.（上海展盟网络科技有限公司）。其静默安装包属性，如下图所示：



主页卫士静默安装包属性
在分析过程中，我们发现快压压缩软件会推广此病毒程序，如下图所示：



快压推广主页卫士
快压安装包会向hxxp://i.kpzip.com/n/install/tui/show.txt请求捆绑相关的配置文件，并会根据配置文件中BlockedProcessList，和InjectBlockedProcessList判断360安全卫士，金山毒霸，腾讯电脑管家等多款杀毒软件的进程是否运行，以此来选择推广策略，例如，当360Tray.exe和kxetray.exe两个进程同时存在时，则不执行捆绑逻辑，以此来躲避杀毒软件，一般恶意代码才会使用这种判断逻辑。配置文件信息，如下图所示：



捆绑所需配置文件

三、详细分析
1.软件推广
除了捆绑下载锁首病毒之外，我们发现快压压缩软件在程序升级时会推广其他软件，具体推广逻辑如下所示。
快压程序在升级时会从hxxp://download.glzip.cn/n/tui/update_agency/v1.0.3.0/kzupdateagency-8.exe下载一个名为KuaizipUpdate.exe的流氓软件，该流氓软件会向云端服务器请求推广软件相关的策略信息，并根据当前用户的计算机环境，执行不同的推广策略，以此获取利益。KuaizipUpdate.exe文件属性，如下图所示：



KuaizipUpdate.exe文件属性
KuaizipUpdate.exe主要逻辑，如下图所示：



KuaizipUpdate.exe执行逻辑
KuaizipUpdate.exe运行时，会向hxxp://i.kpzip.com/n/tui/update_agency/kb.xml请求判断捆绑环境所需的策略文件，解密后的部分策略文件，如下图所示：



解密后策略文件
该策略文件中使用到的标签，如下图所示：



判断标签
KuaizipUpdate.exe会主动判断一些常见的杀毒软件进程，如下图所示：



KuaizipUpdate.exe判断的杀软进程
以如下策略为例，当渠道号为"rytx2_"且存在进程"QQPCRTP.exe"时，就从url对应的地址获取安装包下载路径和运行所需的命令行配置文件。



示例策略
获取的安装包下载路径和运行所需命令行配置文件，解密后，如下图所示：



配置文件
然后KuaizipUpdate.exe会解析配置文件中安装包的下载地址

本帖隐藏的内容

和运行参数，下载并运行安装包。安装包在运行之后会解析其参数，并创建KZTui.exe执行推广逻辑的进程。



拉起KZTui.exe
KZTui.exe在运行后会向hxxp://bundle.kpzip.com/n/kztui/kb/def.txt请求推广软件相关的配置信息。如下图所示：



推广软件配置文件
我们发现，被推广的软件中，有一半是属于上海展盟网络科技有限公司。被推广的软件列表，如下图所示：



被推广的软件列表
KZTui.exe会根据配置文件中对应的Reg字段来判断当前系统是否安装此类软件，并弹窗提示用户安装列表中未安装的三种软件，值得注意的是，此推广弹窗，并无关闭按钮。推广弹窗，如下图所示：



推广弹窗
除了捆绑软件之外，KZTui.exe还会在桌面创建垃圾快捷方式，如下图所示：



创建的桌面快捷方式
2.广告弹窗
快压程序安装时，会在安装目录的x86目录下释放一个UpdateChecker.exe的流氓软件，文件描述为"快压检查更新程序"，文件属性，如下图所示：



UpdateChecker.exe文件属性
每次启动电脑之后，快压右键菜单拓展程序KuaiZipShell.dll会通过explorer.exe启动UpdateChecker.exe，火绒剑中观察其启动流程，如下图所示：



UpdateChecker.exe启动流程
UpdateChecker启动之后，会检测当前运行环境，并根据检测结果下载并执行对应的广告程序。火绒剑中的监控流程，如下图所示：



火绒剑监控UpdateChecker.exe运行流程
UpdateChecker运行之后，会向hxxp://i.kpzip.com/n/updatechecker/urls.xml请求配置文件，该配置文件中存放用来判断是否弹窗时所需的配置文件地址。如下图所示：



url.xml解密后内容
之后会去配置文件中对应的地址请求判断条件相关的配置文件，以hxxp://tips.kpzip.com/n/updatechecker/tips/kb.xml为例，判断依据主要有是否勾选热点新闻，低版本和过白版本，特殊渠道，杀软坏境，以及时间段等，判断逻辑跟软件推广相关代码逻辑相同，此处不做赘述。解密后部分配置文件，如下图所示：



判断是否弹窗的配置文件
如果当前环境满足判断条件中的一种，就取kun_bang对应的url，该url对应的配置文件中存放要下载的广告程序网址，文件保存路径，以及执行时所需的参数，如下图所示：



下载弹窗程序所需的配置文件
由于配置文件是在云端可控的，该流氓软件使用随机路径和随机文件名的方式对抗弹窗拦截程序，弹窗广告程序文件夹，如下图所示：



随机路径+随机文件名的方式对抗弹窗拦截软件
下载的广告程序属性，如下图所示：



文件属性
小贴士和迷你新闻运行之后会弹广告窗口，如下图所示：



小贴士对应广告弹窗



迷你新闻广告弹窗

四、同源性分析
经过火绒安全团队分析，上海广乐网络科技有限公司旗下产品快压（速压）和上海展盟网络科技有限公司旗下小黑记事本和ABC看图等软件均携带此类流氓软件。经过查询两家企业的注册信息，我们发现这两家公司的法定代表人是同一人，其注册邮箱也相同。企业注册信息对比，如下图所示：



两家企业的注册信息对比
两家企业旗下产品的部分文件属性，如下图所示：



快压安装包及携带的流氓程序属性



ABC看图安装包及携带的流氓程序属性



小黑记事本安装包及携带的流氓程序属性
快压迷你新闻页弹窗和ABC看图，小黑记事本对比，如下图所示：



迷你新闻弹窗对比
经过我们分析，发现其代码也具有高度相似性，且其运行时创建的互斥量也完全相同，部分代码比较，如下图所示：



代码相似性比较

五、
附录
文中涉及样本SHA256：

展开全文