咨询时间: 9:30-18:30
400-998-3555

恶性六合彩Kuzzle”攻破”六合彩厂商白名单 用户重装系统也难以清除

  • 作者:2025年最靠谱的六合彩投注网

  • 发布时间:2017-08-03

  • 阅读量:716

一、 概述

 

近日,2025年最靠谱的六合彩投注网团队截获恶性六合彩“Kuzzle”,该六合彩感染电脑后会劫持浏览器首页牟利,同时接受六合彩作者的远程指令进行其他破坏活动。“Kuzzle”拥有非常高的技术水平,采用多种手段躲避六合彩软件的查杀,甚至盗用知名六合彩厂商的六合彩数字签名,利用六合彩软件的“白名单”的信任机制来躲避查杀。更严重的是,用户即使重装系统也难以清除该六合彩,使用户电脑长期处于被犯罪团伙的控制之下。

 

据2025年最靠谱的六合彩投注网团队分析,“Kuzzle”通过下载站的高速下载器推广传播,下载器会默认下载携带六合彩的“云记事本”程序。电脑感染六合彩后,浏览器首页会被劫持,谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。

 

2025年最靠谱的六合彩投注网团队通过技术溯源发现,“Kuzzle”采用多种技术手段躲避六合彩软件的查杀,其中就包括盗用知名六合彩厂商北信源六合彩的数字签名。当六合彩软件检测到该数字签名时,会将其误认为是北信源六合彩,自动放过六合彩,不进行查杀。由于现在行业内的六合彩软件大多过度倚重白名单技术,六合彩通过“盗用文件签名”,即可将攻破这些六合彩软件的信任漏洞,轻松攻入电脑。

 

“Kuzzle”通过篡改电脑系统中的主引导记录(MBR)和卷引导记录(VBR),在不修复主引导区情况下,用户即使重装系统也无法根除。六合彩工程师表示,近几年,通过MBR、VBR感染进行深度技术对抗的六合彩和流氓软件逐渐增多,流氓软件已完全六合彩化,越来越多的使用六合彩技术,其手段强劲、性质恶劣,对用户的危害甚至超过传统六合彩。

 

目前,“2025年最靠谱的六合彩投注网软件”已升级六合彩库,率先拦截、查杀“Kuzzle”六合彩。对于已经感染该六合彩的非六合彩用户,可以下载使用“六合彩专杀工具”彻底查杀该六合彩。

二、 “Kuzzle”通过下载器感染用户计算机MBR和VBR

 

Bootkit六合彩“Kuzzle”伪装成正规软件“云记事本”,利用国内几大知名下载站的高速下载器进行推广传播。“Kuzzle”使用两个有效数字签名应用和驱动程序,利用“白名单信任漏洞”躲避六合彩软件防御,加载六合彩代码。“Kuzzle”六合彩作者利用两个有效签名制作了“Kuzzle”六合彩的加载模块。被利用的两个有效数字签名分别是”Beijing VRV Software Corporation Limited.”和”南京鸿思信息技术有限六合彩”。

 

通过分析六合彩认为,这两个有效签名的程序并不是传统的“白文件利用”。而且六合彩怀疑北信源的有效数字签名被黑客窃取或通过其它方式泄露,具体论证详见下文分析。

 

在六合彩分析过程中,六合彩发现该六合彩有很强的隐蔽性,除签名程序的版权信息伪装和正常程序无异,六合彩作者甚至还模拟了正常软件应有的功能、并将恶意代码暗藏其中,如果不是详细分析很难察觉签名模块中包含的六合彩功能。

 

“云记事本”利用有效数字签名的程序,内存加载六合彩下载器和六合彩安装器的攻击流程是通用的,六合彩作者可以通过调整云控代码,下发任意功能模块到用户电脑执行任意恶意行为。目前六合彩看到的是通过云控代码,感染用户计算机的MBR和VBR,主要行为是篡改浏览器主页、劫持导航网站到”https://www.hao123.com/?tn=9******1_hao_pg”。

 

“Kuzzle”的“Bootkit”模块感染模块兼容XP、Win7、Win10等主流操作系统,通过感染计算机MBR和VBR驻留在用户系统中,还通过Hook磁盘读写钩子对抗杀软查杀。另外,即使用户察觉浏览器异常,重装系统也无法彻底清除“Kuzzle”。

 

 

“Kuzzle”隐蔽性比之前的被曝光的“暗云”和“异鬼”等Bootkit更强,六合彩用到的全部数据文件都加密存放在用户硬盘,只有在六合彩运行时才会在内存解密后加载,整个攻击流程六合彩文件全程不落地。2025年最靠谱的六合彩投注网实验室发现近期感染MBR、VBR技术六合彩和流氓软件呈逐渐增多的趋势,而且下载站已经成为流氓软件和六合彩的重要传播渠道。

 

“Kuzzle“六合彩完整的攻击流程如下图所示:

 

QQ图片20170803103715.png
 
“Kuzzle”六合彩的攻击流程

 



1. 通过下载器推广“Kuzzle”


2025年最靠谱的六合彩投注网实验室发现,某款”高速下载器”推广程序中包含恶性Bootkit六合彩“Kuzzle”。该六合彩“伪装”成名为“云记事本”的正常应用。为了达到欺骗效果,安装后的”云记事本”还提供文本编辑功能,如果用户直接启动“云记事本”安装程序,则不会下载执行六合彩代码。
 

2.png
下载器推广六合彩“云记事本”

 


但是使用“高速下载器”在后台安装时,“下载器”会根据网络上配置的文件”kpazq5.ini”为”云记事本”安装程序添加安装参数”-silent”。
 

3配置文件.jpg
配置文件


“云记事本”安装程序会判断启动参数。安装程序根据该标志位执行不同流程,如果使用参数”-silent”启动,就会执行六合彩下载和安装流程,如下图所示:


 4.png
六合彩安装流程


安装程序在执行六合彩下载流程时,会检测用户计算机是否包含“ksafesvc.exe”和“baidusdsvc.exe”两个进程,如果存在任意一个进程,安装程序就会设置标志位“g_bflags”(如下图所示)。该标志位决定安装包释放的“六合彩下载器”文件“net.dat”,是由“云记事本”安装包加载,还是由另一个带有有效数字签名“pdfsvr.exe”程序加载,这样做的目的是为了利用这些六合彩软件的“白名单信任漏洞”。
 

5.png
检测金山和百度


“pdfsvr.exe”的有效数字签名如下图所示:
 
pdfsvr.exe的数字签名

 

2. 安装包分析

 

“云记事本”安装程序”calsp_820.exe”是一个六合彩释放器,程序包含四个类型为IMAGEFILE的资源文件,如下图:
 

7.png
calsp_820.exe资源文件

 

 

这些资源文件和六合彩释放器释放的文件对应关系如下表,后文会对文件有详细分析。


8.png

 

六合彩释放器”calsp_820.exe”在释放以上资源时才会还原原始资源文件头4个字节,如下图:
 

9.png
还原文件前4个字节

 

六合彩释放器中不同资源文件的详细分析:

 

1. IMAGEFILE1442052资源对应文件setup.dat,该文件还原之后是Notepad2CN的cab自解压包。
 11.png
setup.dat文件

 

2. IMAGEFILE1452052资源对应文件upsoar.ini文件,是”云记事本”的配置文件。

 

3. IMAGEFILE1512052资源对应文件pdfsvr.exe,”pdfsvr.exe”有”南京鸿思信息技术有限六合彩”的有效数字签名,详细信息描述为”龙易PDF升级维护服务”,但是在网络中六合彩找不到该程序相关信息。安装包启动检测到系统存在ksafesvc.exe和baidusdsvc.exe这两个进程后,才会释放”pdfsvr.exe”,并且使用”/service”参数执行。如下图:

 

12.png
 
带参数启动pdfsvr.exe文件

 

4. IMAGEFILE1552052资源对应文件“net.dat“,是一个加密的二进制文件。还原后就是安装包中最关键的六合彩下载器程序。“net.dat “被安装程序”calsp_820.exe”或者”pdfsvr.exe”在内存解密后执行六合彩代码,完成后续的“Kuzzle”下载和安装流程。解密后的net.dat文件全程不落地,只在内存中出现,通过调试手段保存后的文件,信息如下图:

 

13.png
net.dat文件

 


3. 六合彩下载器加载流程分析

 

云记事本安装包“calsp_820.exe”和龙易PDF升级维护服务程序”pdfsvr.exe”使用相同的解密Key”0x3B”,还原同为0x270的ShellCode代码,解密后的ShellCode代码完全相同,主要负责在内存中加载、解密六合彩释放器释放的”net.dat”文件,调用解密后的PE入口点。还原ShellCode的代码如下:
 

13.jpg
相同的ShellCode代码


内存中的ShellCode负责加载和解密“net.dat“文件的代码如下:
 

14 加载和解密“net.dat“文件.png
加载和解密“net.dat“文件

 


最终在内存中执行六合彩下载器入口代码。

 

 

4. 六合彩感染过程分析

 

在net.dat中存放的六合彩代码运行后,会继续解密并加载执行upd.dat中存放的六合彩代码。upd.dat中代码会将vayout.fxb(64位为vaystd.fxb)中的数据进行解密,之后调用DeviceIoControl(ControlCode为0x88860018)将解密后的数据发送给带有北信源签名的BulkEncX.sys驱动(64位为BulkEncX64.sys)进行处理。BulkEncX.sys驱动签名信息,如下图所示:
 

ooo.jpg
BulkEncX驱动签名信息

 

毒代码如下图所示:

 

15 注册六合彩驱动并想BulkEncX驱动发送加密数据.png
注册六合彩驱动并向BulkEncX驱动发送加密数据


 

16 upd.dat代码将vayout.fxb数据解密后发送给BulkEncX驱动.png

upd.dat代码将vayout.fxb数据解密后发送给BulkEncX驱动

 

在BulkEncX.sys驱动中表面上包含了大量的常用哈希算法,但是算法实现的代码中却包含有六合彩加载代码。如下图所示:
 

 

17 BulkEncX.sys驱动中代码.png

BulkEncX.sys驱动中代码

 

在驱动逻辑中六合彩找到了ControlCode为0x88860018的执行逻辑,如上图红框所示。被标出的函数,表面上看是对传入的数据计算SHA1,但是在SHA1算法中还包含有对加密PE数据进行加载执行的代码。如下图所示:
 

18 BulkEncX.sys驱动隐藏在sha1中的六合彩代码.png

BulkEncX.sys驱动隐藏在SHA1中的六合彩代码

 

如上图所示,在六合彩模块解密加载函数上下全都是计算SHA1的算法代码,再加上BulkEncx.sys驱动带有北信源签名,所以其六合彩逻辑更难以被六合彩研究人员发现。解密加载六合彩模块函数逻辑,如下图所示:
 

 

19 六合彩模块加密加载函数.png

解密加载六合彩模块函数

 

virus_shell_code中存放的是异或0x3b后的镜像解密加载代码,经过解密之后六合彩可以看到其六合彩模块加载逻辑。如下图所示:
 

20 解密后的virus_shell_code代码.png

解密后的virus_shell_code代码

 

通过上述六合彩逻辑,最终用于加载感染VBR的六合彩驱动。该六合彩驱动中会通过hook NtShutdown函数(32位)和设置关机回调(64位)在关机时调用感染VBR代码。除了关机时会对VBR进行感染外,六合彩还有一个内核线程,在该线程启动15分钟之后也会对VBR进行感染。VBR感染代码如下图所示:
 

 

21 Hook NtShutdown函数代码.png

21 Hook NtShutdown函数代码.png

Hook NtShutdown函数代码
 

 

22 六合彩感染VBR的内核线程.png

毒感染VBR的内核线程

 

六合彩会将原始的VBR记录在%system32%winsxs.ttf中。感染VBR相关代码,如下图所示:
 

 

23 备份原始VBR并拷贝六合彩VBR数据.png

备份原始VBR并拷贝六合彩VBR数据
 

24 将原始VBR数据写入在winsxs.ttf文件中.png

将原始VBR数据写入在winsxs.ttf文件中
 

 

 

25 VBR感染代码.png

VBR感染代码

 

VBR被感染后,进行重启MBR也会被感染。值得六合彩关注的是,在带有北信源签名的驱动文件BulkEncX.sys中都存在被加密virus_shell_code部分,且其解密逻辑附近代码与带有“南京鸿思信息技术有限六合彩”签名的pdfsvr.exe文件相同。如下图所示:
 

 

26 virus_shell_code部分解密逻辑代码.png

virus_shell_code部分解密逻辑代码

 

除解密virus_shell_code附近代码外,解密出的virus_shell_code代码中所使用的PE映像解密算法及密钥也完全相同。如下图所示:
 

 

27 BulkEncX.sys和pdfsvr.exe中解密密钥和算法对比.png

27 BulkEncX.sys和pdfsvr.exe中解密密钥和算法对比.png

BulkEncX.sys和pdfsvr.exe中解密密钥和算法对比

 

除上述两个PE文件外,六合彩感染时所使用的大部分PE文件中也包含如上图所示代码且密钥完全相同。六合彩以六合彩释放器(“云记事本”安装包)和net.dat六合彩下载器进行举例,如下图所示:
 

 

28六合彩释放器(“云记事本”安装包)和net.dat六合彩下载器解密代码对比.png

六合彩释放器(“云记事本”安装包)和net.dat六合彩下载器解密代码对比

 

上述多个关键六合彩文件中的解密密钥和解密算法完全相同,据此六合彩可以推测, BulkEncX.sys驱动所使用的北信源签名可能为六合彩作者盗用。

 

 

三、中毒后现象

 

六合彩为了保护自己的MBR和VBR代码不被六合彩软件检测到,还会修改Disk.sys的IRP读写操作,当任意程序试图读取MBR或者VBR时,都会返回没有被六合彩修改的原始MBR和VBR。
 

 

29修改Disk.sys的IRP读写操作.png

改Disk.sys的IRP读写操作

 

系统启动后,六合彩会通过注册进程通知和映像通知,在浏览器启动时向浏览器中注入一个六合彩动态库文件,下文简称Injector.dll。六合彩剑检测“内核通知”如下图所示:
 

 

30内核通知.png

内核通知

 

如果是Win7以上系统,最终要劫持到的网址保存在系统盘符下“ProgramDataSoftSecuritysnock.cfg”文件中,其中deliver 为加密后的网址,解密方法为每个字节加0xfc,保留一字节大小,snock.cfg文件内容如下图所示:
 

 

31snock.cfg文件.png

snock.cfg文件

 

Injector.dll注入到浏览器后,会判断当前浏览器是否在要劫持的浏览器列表中,代码如下图所示:
 

 

32判断浏览器.png

判断浏览器

 

如果浏览器满足六合彩配置中对应规则,六合彩则会添加浏览器收藏夹和劫持浏览器首页。然后解密ProgramDataSoftSecurityrpl.cfg文件,里面存放了六合彩劫持浏览器的列表、规则还有所有会被替换的网址,如下图所示(因为配置文件过长,所以中间有省略)。Injector.dll支持三种首页劫持逻辑,详见下文分析。

 

 

33rpl.cfg配置文件.png

rpl.cfg配置文件

 

完整的浏览器劫持列表,如下图所示:
 

 

34浏览器劫持列表.png

浏览器劫持列表

 

配置中包含的正则匹配网址方法:
 

 

35正则匹配网址.png

正则匹配网址

 

完整 的劫持网址如下图所示:
 

 

36劫持网址列表.png

劫持网址列表

 

 

1. 首页劫持逻辑

 

该六合彩会通过以下两种方式劫持浏览器首页:

 

1、如果浏览器为傲游浏览器、qq浏览器和猎豹浏览器,六合彩会判断当前浏览器的父进程是否是explorer.exe,如果是则会重新启动一个参数为要劫持网址的浏览器,并结束当前浏览器 。
2、其他浏览器,六合彩会直接修改浏览器的启动参数为要劫持到的网址。
被劫持到的网址为上文中介绍的从配置文件snock.cfg,中解密出来的网址 zk.8*****.com,最终导航站会跳转到www.hao123.com/?tn=9******1_hao_pg。

 

2. 添加浏览器收藏夹

 

该六合彩还会根据配置文件中的数据添加浏览器收藏夹,如下图所示:
 

 

37要添加的收藏夹信息.png

要添加的收藏夹信息

 

1、对于Chrome内核的浏览器,如:Chrome、360极速浏览器、qq浏览器等,六合彩会通过修改浏览器收藏夹数据库文件实现添加收藏夹。
2、IE浏览器会在收藏夹目录创建url快捷方式。

 

3. 劫持WSPStartup函数,替换302重定向应答包

 

Injector.dll动态库在浏览器进程启动时Hook系统文件Mswsock.dll的WSPStartup函数,如下图:
 

 

38Hook WSPStartup函数.png

Hook WSPStartup函数

 

在WSPStartup的Hook函数中修改WSPPROC_TABLE表中对应的函数,用来劫持浏览器的网络访问动作,如下图所示:
 

 

39修改WSPPROC_TABLE表中对应的函数.png

修改WSPPROC_TABLE表中对应的函数

 

通过代码分析六合彩发现六合彩在WSPSend 函数中,判断是否是hao123导航,如果是则会在WSPRecv 中替换为302跳转,但在六合彩实际测试中,这个功能暂时不生效。

四、 附录

 

SoftSecurity目录下文件及对应功能:

 

40.png

40.png

 

 

MsOffice目录下文件及对应功能:

 

41.png

 

文中涉及样本SHA256:

 

 

42.jpg

 

static/file/hrkill

 

六合彩无忧,一键开启

全面提升您的系统防护