安全中心 > 安全热点分析 > 小心!你的电脑可能被人用来偷刷流量 ——一款刷流量病毒分析

小心!你的电脑可能被人用来偷刷流量 ——一款刷流量病毒分析

时间:2017年 09月 13日   作者:腾讯反病毒实验室

概述

近段时间,腾讯电脑管家反病毒实验室发现某些网站的访问流量存在异常情况。经跟踪分析,发现是名为inok.exe的模块后台恶意刷流量导致,该模块主要通过游戏下载器和外挂传播,中招电脑会在每次启动后从病毒服务器更新流量模块本地。病毒带有rootkit驱动,可实现文件隐藏以及拉活功能

基本流程:

 

详细分析

病毒rootkit驱动存在于c:/windows/KomLxiu目录,名Houzik.sys

 

Houzik.sys负责拉活houzik.dll以及隐藏文件,Houzik.sys底层附加在explorer进程中,并插入APC函数加载Houzik.dll

 

Houzik.dll中内嵌一个被加密的PE文件。

 

加密方式异或循环加密。

 

解密后得到DB_Comm.dll,该文件会检测当前进程,如果不是在explorer进程,则不会进行后续下载和感染。

 

如果检测是运行在explorer空间,DB_Comm.dll连接hxxp://www.sunshoo.com域名,开始下载inok.exe模块。

 

Inok.exe主要功能是后台静默刷流量,内置部分网址:

 

Inok.exe采用易语言编写,程序运行后,利用内置易语言webbrowser访问这些网站,并模拟访问网页中的子页面,为了不引起怀疑,inok禁用了网页的背景音乐播放。

溯源

追踪发现,该模块通过游戏下载器以及游戏外挂传播。游戏下载器安装后,会释放easy_ random.exe文件,该文件静默安装一款名为EasyNote的软件EasyNote安装完成后会执行getmyapp.exe,而getmyapp会静默下载安装多款软件,其中Game_xx.exe直接携带病毒。

 

安全建议

电脑管家提醒用户不要使用游戏盒子下载器及外挂软件。安装正规软件时,也应注意取消不相关下载项的默认勾选。同时开启电脑管家实时防护,并及时更新病毒库。目前,使用电脑管家可查杀并防御该病毒。

 

相关热点分析