火绒安全团队揭露舟大师暗刷木马，用户电脑CPU和带宽异常占用

【新闻动态】近期，有企业用户向火绒安全团队求助，称电脑CPU和带宽占用无故增加，电脑发热、缓慢。经过远程查看，Tinder工程师在用户电脑上发现了一组隐藏的木马，导致了上述现象。经追查来源，发现来自一个名为“周大师”的程序，携带点击木马。目前Tinder已经拦截并杀死了它。

据火绒工程师分析： 1、未经用户同意，软件默认安装； 2、安装后开机自动启动，并根据云控指令隐藏浏览器窗口，无任何提示。偷偷刷特定搜索词； 3、该软件没有卸载程序，普通用户无法卸载。上述行为均是在用户完全不知情的情况下完成的，这与安全厂商对“点击木马（TrojanClicker）”的定义是一致的。具体分析请参见文章所附的【分析报告】。

随后，一名自称“周师傅”的相关技术人员联系我们，表示火绒是该软件的“误报”。在与火绒项目的沟通中，他一直说自己的软件已经过国内安全厂商的“审核”，并询问火绒是否可以为其“开网”？对此，我们表示，火绒不存在所谓的过多进程，任何符合恶意程序或软件的行为都会被及时拦截查杀。同时我们也相信任何安全厂商都不会为病毒敞开大门。

事实上，火绒已经报道过类似的静默安装、刷流量等危害用户的恶意行为的报告（详情见下面链接）。我们也明确表示，火绒将持续监控任何符合恶意行为的程序和软件。拦截、杀戮。同时，我们也呼吁广大软件厂商恪守行业道德，维护用户权益，在追求利润的同时谋求长远发展。最后，火绒提醒用户不要轻易下载、点击来历不明的软件，并安装合格的安全软件。如果您对病毒报告结果有任何疑问，应尽快联系安全厂商，以免受到伤害。

相关链接：

1. 详细分析

近日，火绒收到用户反馈，称一款名为MasterZ的“软件”在用户不知情的情况下被静默安装，且控制面板中未找到对应的卸载项。每次打开计算机时，“软件”都会自动启动。 ，运行后会导致CPU占用率高。然后我们追根溯源，找到了该软件的安装包。我们发现安装过程中没有生成任何提示，安装完成后也没有生成卸载项，安装目录下也没有卸载程序。 MasterZ安装包文件信息，如下图：

安装包文件信息

经过分析，我们发现MasterZ是一个点击木马。该木马会创建一个隐藏的IE表单刷点击软件，通过云控下发的配置数据在搜索引擎中搜索关键词，以提高指定URL链接的搜索引擎排名，并抓取网页。快照被发送回 C&C 服务器。该木马还可以根据云控配置进行注册启动项、上传日志、上传页面快照、上传指定目录等操作。相关恶意行为执行流程如下图所示：

恶意行为执行流程

木马启动后会自动执行点击任务。相关操作日志，如下图：

通过指定搜索引擎搜索关键词

保存搜索页面快照

根据相关C&C服务器域名，我们溯源至名为“周大师”的软件官网。正如页面上所描述的，其软件主要用于SEO优化排名。网站页面如下图：

周大师官网

提升搜索引擎排名

该木马会根据C&C服务器返回的云控配置，提高指定URL链接的搜索引擎排名。木马启动时会调用配置文件Customize.dat。如果type=1，将启动隐藏界面。该参数默认值为1。读取Customize.dat配置文件，如下图：

根据类型的值隐藏表单。相关代码如下所示：

隐藏表格

Customize.dat配置文件内容如下所示：

customize.dat配置内容

之后MasterZ.exe会调用YunTask.dll模块开始执行云控任务。 YunTask.dll模块初始化时会读取YunTask.dat配置文件。配置文件内容包含不同的任务服务器地址，如下图所示：

YunTask.dat配置内容

加载配置文件的相关代码如下图所示：

加载YunTask.dat配置

YunTask.dll会通过C&C服务器地址（如：kwdapi.sumszw.com）请求搜索关键字数据。请求链接，如下图：

部分请求链接

构造C&C服务器请求地址并发送请求数据相关代码，如下图所示：

构造C&C服务器请求地址并发送请求数据

构造请求数据

将任务请求数据发送到C&C服务器后，即可获取与该任务相关的搜索关键词数据（由于数据较长，仅以部分数据为例），如下图所示：

服务器返回数据

需要对关键字数据进行解密。解密后的关键字数据如下图所示：

解密的关键字数据

木马获取关键词数据后，会调用UpdateRank.exe进行搜索引擎排名提升操作。相关代码如下所示：

调用UpdateRank.exe刷新搜索引擎排名

UpdateRank.exe获取关键字数据后，会使用隐藏的IE浏览器形式调用指定的搜索引擎来搜索关键字。相关代码如下：

创建浏览器表单

为了提高浏览器表单的隐蔽性，木马会调用SetWindowHookExW设置钩子，过滤掉浏览器中产生的警告消息。相关代码如下所示：

调用SetWindowHookExW相关代码

UpdateRank.exe 随后将加载搜索引擎相关配置。当提升搜索引擎排名时，它会根据配置文件中提供的搜索模式拼接搜索请求链接。配置数据，如下图：

搜索引擎配置

SiteList.txt配置中存放的是需要完善的链接域名。 UpdateRank.exe获取关键字数据后，会匹配SiteList.txt中的相关链接，帮助指定的URL链接提高搜索引擎排名。相关代码如下所示：

加载并分解SiteList.txt配置文件

SiteList.txt配置内容，如下图：

SiteList.txt配置内容

当UpdateRank.exe提高浏览器排名时，它会保存搜索引擎结果页面并突出显示名称中的搜索词。相关页面将被发送回C&C服务器（hxxp://157.255.170.218）。保存的搜索引擎页面如下图：

已保存的搜索引擎页面（百度）

已保存的搜索引擎页面（360搜索）

以上链接均是“环亚昊天（北京）人力资源咨询有限公司”官方网站的链接。与文章前面提到的搜索关键词配置数据相同。点击上面的链接跳转到页面，如下图：

点击以上链接跳转页面

执行云控制指令

YunTask.dll模块还可以连接服务器读取并执行云控制指令。可执行的云控制指令包括设置自启动项、上传页面快照、上传指定目录等操作。云控服务器地址存储在YunTask.dat配置文件的ConnectUseUdp项中。配置文件，如下图：

云控命令地址配置

读取云控指令地址相关代码刷点击软件，如下图：

读取云控命令服务器地址

云控命令分发相关代码，如下图：

下发云控制指令

设置自启动项相关的云控命令执行代码，如下图：

设置开机自动启动项

2. 附录

样本哈希值