火绒深度报告：恶性病毒Kuzzle”攻破”安全厂商白名单

本篇文章1865字，读完约5分钟

最近，天鹅绒安全团队截获了恶搞病毒。病毒感染电脑后，它劫持了浏览器的主页牟利，同时，它收到了来自病毒作者的远程指令，进行其他破坏活动。Kuzzle拥有很高的技术水平，使用各种手段来避免杀死安全软件，甚至窃取知名安全厂商的数字签名，并使用安全软件白名单的信任机制来避免杀死。此外，即使用户重新安装系统，也很难清除病毒，这使得用户的计算机长期处于犯罪团伙的控制之下。

根据天鹅绒安全团队的分析，kuzzle是通过下载站的高速下载器来推广和传播的，默认下载器会下载带有病毒的云记事本程序。电脑感染病毒后，浏览器的主页将被劫持，许多主流浏览器如谷歌、火狐和360将被改造成hao123导航站。

通过技术追踪，天鹅绒安全团队发现，kuzzle使用了各种技术手段来避免安全软件被查杀，包括窃取知名安全厂商北新源公司的数字签名。当安全软件检测到数字签名时，它会将数字签名误认为是北新源的产品，并自动释放病毒而不会杀死它。因为现在这个行业中的大多数安全软件都过于依赖白名单技术，所以病毒可以打破这些安全软件的信任漏洞，并通过窃取文件签名轻易地侵入计算机。

Kuzzle篡改计算机系统中的主引导记录(mbr)和卷引导记录(vbr)，即使用户重新安装系统，他们也不能在不修复主引导区域的情况下将其删除。据tinder工程师介绍，近年来，深受mbr和vbr感染的病毒和流氓软件逐渐增多，流氓软件已经完全病毒化，使用的病毒技术越来越多，手段强大，性质恶劣，比传统病毒对用户的危害更大。

目前，天鹅绒安全软件已经升级了病毒数据库，率先拦截并消灭了酷乐病毒。对于感染了病毒的非天鹅绒用户，他们可以下载并使用天鹅绒杀死工具彻底杀死病毒。

第二，kuzzle通过下载器感染用户计算机的mbr和vbr

Bootkit病毒伪装成一个普通的软件云记事本，通过中国几个著名下载站的高速下载程序传播。Kuzzle使用两种有效的数字签名应用程序和驱动程序，并使用白名单信任漏洞来避免安全软件防御和加载病毒代码。“酷儿病毒”的作者用两个有效的签名制作了“酷儿病毒”的加载模块。使用的两个有效数字签名是北京VRV软件股份有限公司和南京宏思信息技术有限公司..

通过分析，我们认为这两种有效的签名方案都不是传统的白色文件利用。此外，我们怀疑北信源的有效数字签名已被黑客窃取或以其他方式泄露。详情见下面的分析。

在病毒分析过程中，我们发现病毒具有很强的隐蔽性，除了签名程序的版权信息伪装与普通程序没有什么不同，病毒作者甚至模拟了普通软件应该具备的功能，并在其中隐藏了恶意代码，因此在没有详细分析的情况下很难检测到签名模块中包含的病毒功能。

云端记事本使用有效的数字签名程序，在内存中加载病毒下载程序和病毒安装程序的攻击过程是通用的。病毒作者可以调整云控制代码，并将任何功能模块发送到用户的计算机，以执行任何恶意行为。目前，我们看到的是用户计算机的mbr和vbr通过云控制代码被感染，主要行为是篡改浏览器主页，劫持导航网站到hao123/？tn = 9 * * * * * * 1 _郝_pg .

Kuzzle的bootkit模块感染模块与主流操作系统兼容，如xp、win7、win10等。它通过感染计算机mbr和vbr驻留在用户的系统中，并且还通过钩子盘读写钩子来对抗杀死软件。此外，即使用户感觉到浏览器不正常，重新安装系统也不能完全清除挡板。

Kuzzle比之前暴露的鞋套更隐蔽，比如乌云和外星幽灵。病毒使用的所有数据文件都被加密并存储在用户的硬盘上，只有当病毒运行时，它才会在内存被解密后被加载。在整个攻击过程中，病毒文件不会落地。天鹅绒安全实验室发现，近年来感染mbr和vbr技术的病毒和流氓软件逐渐增多，下载站已成为流氓软件和病毒的重要传播渠道。

酷炫病毒的完整攻击过程如下图所示:

库兹尔病毒的攻击过程

1.通过下载器推广kuzzle

天鹅绒安全实验室发现，一个高速下载器推广计划包含恶性启动套件病毒的困惑。病毒伪装成云记事本的正常应用。为了作弊，安装的云记事本还提供了文本编辑功能。如果用户直接启动云记事本安装程序，病毒代码将不会被下载和执行。

下载器推广病毒云记事本

但是，当使用高速下载器在后台安装时，下载器会根据网络上配置的文件kpazq5.ini将安装参数-silent添加到云端记事本安装程序中。

配置文件

云记事本安装程序确定启动参数。安装程序根据标志位执行不同的进程。如果参数-silent用于启动，将执行病毒下载和安装过程，如下图所示:

病毒安装过程