流星加速器篇

消息来源:“流星加速器”恶意投毒控制用户电脑 恐用于商业牟利

注:如果下载的是官网版本,扫描无病毒是正常的。官网版本暂时未发现上述病毒,不过官网版本虽然暂时未发现上述病毒,但是官网版本和病毒签名一致,并且具有调用病毒模块的代码逻辑,详细分析见下文。
【快讯】
根据“火绒威胁情报系统”监测,火绒安全团队发现一款名为“流星加速器”的软件,正通过各大下载站下载器进行静默推广传播,且携带恶意代{过}{滤}理模块和后门模块。用户运行该软件后,就会激活这些病毒模块。病毒可以控制用户电脑,执行任意命令。

由于“流星加速器”用户数量较多,致使病毒影响的范围较大,目前已感染上百万用户,且感染量还在以单日超过10万的数量增长,请广大用户小心防范。火绒安全软件最新版可及时拦截、查杀上述病毒模块,且不会损坏软件的正常功能,请用户放心使用。

根据火绒工程师分析,“流星加速器”运行后会释放两个病毒模块,其中一个具备恶意代{过}{滤}理功能,可控制用户电脑作为流量跳板;另一个模块具备后门功能,可执行任意远程指令,危害严重。此外,当用户卸载“流星加速器”后,上述病毒模块会依旧驻留用户电脑中,继续作恶。

通过进一步溯源调查,火绒工程师发现“流星加速器”所属公司旗下存在大量与数据爬虫采集、流量代{过}{滤}理加速等相关产品。据此,不排除该企业利用上述病毒,控制用户电脑并投入商业使用,从而获得盈利的可能。
附:【分析报告】

一、        详细分析
最近我们发现一组具有恶意代{过}{滤}理功能(LocalNetwork.exe)及后门功能(SecurityGuard.exe)的程序模块。经溯源发现,这两个恶意模块均由流星加速器安装包所释放、运行,且当流星加速器被卸载之后,上述恶意模块仍然残留在用户电脑中。带有恶意模块的流星加速器安装包是由下载器所静默推广,此次涉及到的下载站有中关村在线(zol.com.cn)等。相关信息如下图所示:

 

下载器推广截图
软件安装包数字签名信息
恶意模块签名信息

当流星加速器被下载器静默推广安装之后,便会在安装目录释放恶意代{过}{滤}理模块LocalNetwork.exe与后门模块SecurityGuard.exe。释放完成后,LXInstall.exe将创建C:\Program Files\Microsoft App文件夹并将LocalNetwork.exe移动到其中,随后启动LocalNetworkFlowService服务。同时LXInstall.exe会将SecurityGuard.exe移动到C:\Windows目录下并启动执行。相关动作如下图所示:

执行动作信息

LocalNetwork模块
LocalNetwork.exe会通过接收C&C服务器(58.218.92.196)的代{过}{滤}理策略,执行代{过}{滤}理逻辑转发服务器下发的数据流量,在未经用户允许的情况下占用用户的网络资源,使用户机器沦为帮助其牟取利益的工具。LocalNetwork.exe作为服务运行之后,首先会收集用户主机系统信息并将其加密发送至C&C服务器(yxjs.diaodu.ssot.net)。随后C&C服务器回传代{过}{滤}理通信服务器的地址信息,相关代码如下图所示:

获取主机相关信息

 

获取到的主机信息
连接C&C服务器
获取到的代理通信服务器地址

当得到代理通信服务器地址之后,LocalNetwork.exe便会与之连接,获取所需的代{过}{滤}理策略。之后,LocalNetwork.exe根据下放的代{过}{滤}理策略访问目标网页,若访问成功,则返回目标网页相关信息。详细的通信流程,如下图所示:

通讯流程图

收到的代理策略及数据传输内容,如下图所示:

收到的代理策略信息
数据传输图

此外,我们还发现流星加速器主程序(liuxing.exe)会创建线程每隔2秒就会检测LocalNetwork.exe进程是否存在,如果不存在,则会执行其软件安装目录下的LocalNetwork.exe。由于当前版本的流星加速器所释放的LocalNetwork.exe恶意代{过}{滤}理模块已经不在其软件安装目录中,上述执行逻辑已经失效,我们会对其主程序模块的更新进行持续追踪。相关逻辑,如下图所示:

相关代码
检测启动LocalNetwork.exe相关代码

SecurityGuard模块
SecurityGuard.exe模块的主要功能就是将自身注册为服务并接收C&C服务器(api.jm.taolop.com)下发的后门命令控制码来执行不同的后门功能,如:更新模块,创建、删除服务,运行远程命令。相关代码如下图所示:

连接C&C服务器并接收后门控制码
执行后门功能

二、        溯源分析
此外,我们根据恶意模块的签名信息“江苏灵匠信息科技有限公司”发现其旗下存在大量与数据爬虫采集,流量代理加速等有关产品,相关信息如下图所示

江苏灵匠信息科技有限公司旗下部分产品

仅以芝麻代理为例,今日活跃的代理IP数量为200万左右与我们在火绒终端威胁情报系统中所监测到的该病毒感染数量较为相近,官网页面如下图所示:

芝麻代理官网

三、        附录
病毒hash

Golink加速器篇

消息来源:免费永远是最贵的!免费游戏加速器潜规则!

之前火绒团队公布 “流星加速器”恶意投毒控制用户电脑。 其实或多或少也能理解了里面的套路。
详细帖子:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1246571

怕报复,小号发布了。
今天教大家不负责任的摸清加速器行业潜规则。

因为有人推荐Golink加速器免费,今天本来想试试,发现软件容量异常的大。所以有了以下的看法。

疑点分享:一个加速器居然要130MB?怕不是里面存在什么其他功能,这里需要存疑

软件那么多大,其实也不需要怎么解密软件

首先打开官网https://www.golink.com/先拉到最下方,将公司名称或者北岸号复制然后丢去企查查,天眼查等等的网站。

https://www.tianyancha.com/company/3130037744

你会发现这类型免费加速器的的法人和老板一般名下都会有几家公司,这其实就和流星加速器的套路是非常相似的!

https://www.tianyancha.com/human/1989305798-c3130037744

他的名下有上海圣钧信息科技有限公司

https://www.tianyancha.com/company/3461937780

上海哲芮网络科技有限公司

https://www.tianyancha.com/company/3157024309

南京偲言睿网络科技有限公司

https://www.tianyancha.com/company/3130037744

徐州玖易通网络科技有限公司

https://www.tianyancha.com/company/2428458995

例如他名下的
上海哲芮网络科技有限公司  我们可以看到最大股东还是        李程

拉下去看到这家公司在网站北岸和著作权中,逐一打开

其中
www.qingtingip.com网站和流星加速器套路一样。

 

为什么有那么多高匿名IP和多节点代理呢?

依旧是Golink股东旗下的公司信息摸到出售代理的网站

他注册了名为豌豆代理的商标和域名,顺着找到,豌豆代理的网站

45元/7天售价,用户的IP真的挺值钱的!

用户正在爽歪歪用加速器打游戏的同时,加速器后台会将你的IP或者别的功能拿去贩卖作为维持盈利的方式!白嫖一时爽,一直白嫖结论:免费的永远是最贵!免费的加速器,盈利方式是将用户电脑作为一个代理节点出售,提供给灰产买家使用(例如电商刷单,软件活跃用户作假,批量注册社交媒体账号等等)

当然我们并不能抨击这类加速器的运营方式,毕竟作为企业赚钱才是最终目的,并不可能存在免费的加速器来服务大家,毕竟境外低延迟服务器也是需要资金维持运作,作为使用者,就看你愿不愿意将自己的资源被用作贩卖罢了。如果你的IP被他人拿去做非法用途,那么后果可能也需要自己承担哦。遇到开个代理3层跳板去找删除别人数据库的那就真的刺激了。
一直爽。

 

站长寄语

莫得那么多白嫖的羊毛,一分钱一分货,羊毛出在羊身上

你白嫖加速器,人家白嫖你代理,礼尚往来

不过流星加速器我最近也是经常用,前一段时间表现不错,近期不知道是Uplay还是流星自己的问题,表现不佳

流星节点采用香港Ucloud,有没有其他节点不清楚

这种免费加速器套路可能也是国内节点的DD/CC网络攻击的代理池的一个重大来源吧?

毕竟都2020了,还想用什么病毒木马搞肉鸡还不被发现是真的难

点击数:101


(´,,•ω•,,‘)