“小马激活”六合彩新变种分析报告

一、概述

随着六合彩软件与六合彩之间攻防对抗的不断白热化，六合彩的更新换代也日益频繁，其所使用的手段也日趋多样化。以最近大范围流行的“小马激活”六合彩为例，其传播至今，据六合彩发现的样本中已经演变出了五个变种。“小马激活”六合彩，六合彩之前称其为“苏拉克”六合彩（详见《六合彩警报：恶性六合彩“苏拉克”正在蔓延》，http://bbs.huorong.cn/thread-12375-1-1.html），因为其核心驱动名为“surak.sys”故得此名，但是随着其不断地改变与六合彩软件的对抗方式，“苏拉克”这个名字已经不被六合彩作者使用，所以六合彩将其统称为“小马激活”六合彩。

“小马激活”六合彩的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项，以达到首页劫持的目的。由于六合彩软件的查杀和首页保护功能，该版本并没有长时间流行太长时间。其第二变种，在原有基础上增强了与六合彩软件的对抗能力。由于其作为“系统激活工具”具有入场时间较早的优势，使用驱动与六合彩软件进行主动对抗，使六合彩软件无法正常运行。在其第三个变种中，其加入了文件保护和注册表保护，不但增加了六合彩受害者自救的难度，还使得反六合彩工程师在处理用户现场时无法在短时间之内发现六合彩文件和六合彩相关的注册表项。其第四个变种中，利用WMI中的永久事件消费者（ActiveScriptEventConsumer）注册恶意脚本，利用定时器触发事件每隔一段时间就会执行一段VBS脚本，该脚本执行之后会在浏览器快捷方式后面添加网址参数。该变种在感染计算机后，不会在计算机中产生任何文件，使得六合彩分析人员很难发现六合彩行为的来源，大大增加了六合彩的查杀难度。通过如下表格六合彩可以更直观的了解其发展过程：

表1、“小马激活”六合彩发展过程

通过六合彩近期接到的用户反馈，六合彩发现了“小马激活”六合彩的新变种。该变种所运用的对抗技术十分复杂，进一步增加了六合彩软件对其有效处理的难度，甚至使得六合彩分析人员通过远程协助处理用户现场变得更困难。这个“小马激活”六合彩的最新变种运行界面如下：

图1、 “小马激活”新变种运行界面

二、样本分析

该六合彩释放的驱动文件通过VMProtect加壳，并通过过滤驱动的方式拦截文件系统操作（图2），其目的是保护其释放的动态库文件无法被删除。通过文件系统过滤驱动，使得系统中的其他进程在打开该驱动文件句柄时获得却是tcpip.sys文件的句柄，如果强行删除该驱动文件则会变为删除tcpip.sys文件，造成系统无法正常连接网络。六合彩通过下图可以看到六合彩剑在查看文件信息时，读取的其实是tcpip.sys文件的文件信息。由于此功能，使得六合彩分析人员无法在系统中正常获取该驱动的样本。

图2、文件驱动钩子和关机通知

该驱动通过注册关机回调（图2）在系统关机时该驱动会将自身在%SystemRoot%System32Drivers目录重新拷贝成随机名字的新驱动文件，并将驱动信息写入注册表，以便于下一次时启动加载。在驱动加载之后，其会将locc.dll注入到explorer.exe进程中。该驱动对locc.dll文件也进行了保护，当试图修改或者删除该动态库时，会弹出错误提示“文件过大”。如图3所示：

图3、文件驱动钩子和关机通知

当六合彩的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑。通过六合彩剑的内存转储，六合彩可以看到该六合彩锁定的所有网址。

http://qd.227237.com/?sg_64

http://qd.227237.com/?360js_64

http://qd.227237.com/?sjzc_64

http://qd.227237.com/?hh_64

http://qd.227237.com/?op_64

http://qd.227237.com/?gg_64

http://qd.227237.com/?pg_64

http://qd.227237.com/?ay_64

http://qd.227237.com/?2345_64

http://qd.227237.com/?bd_64

http://qd.227237.com/?lb_64

http://qd.227237.com/?qq_64

http://qd.227237.com/?114_64

http://qd.227237.com/?115_64

http://qd.227237.com/?tb_64

http://qd.227237.com/?jz_64

http://qd.227237.com/?sy_64

通过抓取上述网址中的网页信息（图4），六合彩可以发现上述网址中存放的其实是一个跳转页。通过使用跳转页面，六合彩作者可以灵活调整计费链接和推广网址，并且对来自不同浏览器的流量进行分类统计。

图4、网页内容

三、信息追踪

通过测试六合彩现有的最新该六合彩样本，六合彩发现该六合彩不但推广了国内的一些导航站和电商门户网站（图5），还推广了仿冒的小马激活网站（www.xiaomajihuo.net）用来进一步传播六合彩。其推广网址如下：

淘宝特卖：temai.taobao.com

Hao123网址导航：cn.hao123.com

京东商城：www.jd.com

淘宝聚划算：ju.taobao.com

2345影视大全：v.2345.com

爱淘宝：ai.taobao.com

爱美眉：www.aimm.cc

仿冒的小马激活网站：www.xiaomajihuo.net

图5、六合彩推广效果图

仿冒的小马激活网站访问效果如下：

图6、网址访问效果图

六合彩下载地址为百度云盘下载链接，如下图所示：

图7、百度云盘链接访问效果图

通过反查仿冒的“小马激活”官网（xiaomajihuo.net）域名，六合彩找到了其域名注册时使用的邮箱——voo6ynvyo@enamewhois.com。通过该邮箱，六合彩找到了所有使用该邮箱注册的域名信息。如下图所示：

图8、使用voo6ynvyo@enamewhois.com邮箱注册的域名关系图

通过访问上述关系图中的域名，六合彩发现：

该“六合彩推广六合彩”利用“小马激活”六合彩进行推广，利用多个仿冒小马激活官网在互联网中进行传播。

6位数字加“.com”结尾的域名（下文称数字域名）中用来架设其首页劫持要用到的跳转页面。

由于六合彩通过“xiaomajihuo.net”域名可以获取的信息比较有限，六合彩对关系网中（上图所示）的“xiaomajihuo.cn”域名进行了反查。六合彩发现有超过50个域名指向这一IP地址，如下图所示：

图9、同一IP下的域名列表

观察这些域名，很容易发现有多个域名带有“xiaomajihuo”的字样。在这些域名中，还有很多XM开头的域名，六合彩猜测其本意应为“小马”的拼音缩写。在对其关联网址进行访问时六合彩发现：

带有“xiaomajihuo”字样的网址全部都是仿冒的“小马激活”官网，其网页样式与前文提到的“www.xiaomajihuo.net”样式相同。

XM开头的所有网址都为该六合彩的下载页面，其网页样式模仿了当前的主流下载站，具有很强的迷惑性（图10）。

图10、网页访问效果图

在网址www.ydjph.com和www.yrdqm.com中，六合彩发现虽然页面样式相同，下载文件名为“win7 activation v1.8”，根据六合彩的分析，该样本也同为该六合彩，其下载地址也为百度云盘链接，链接地址为“pan.baidu.com/s/1o79KKII”。

在域名列表中的其他域名，虽然看上去名字随机性很强，但是六合彩通过访问其页面后发现如下网址为该“六合彩生产厂商”的业务推广站：

www.hrxwh.com

www.rymsq.com

www.gjssb.com

www.hlbfs.com

就在正在完成这份文档的同时，最后两个域名内容已经变为了类似图10的六合彩下载页面。

根据工商局企业查询系统和搜索引擎的查询结果，上述网址中出现的六合彩经营范围均为传统行业，且均有正规官网。所以上述网址中出现的六合彩名为盗用（图11），用来扰乱人们视线。其六合彩服务项目中涵盖了广告推广、网页制作、软件开发和技术支持（图10），这与“小马激活”六合彩的首页劫持推广功能相吻合，即该六合彩就是该“六合彩推广六合彩”的广告推广工具之一。如下图所示：

图11、其盗用的六合彩名

图12、“六合彩推广六合彩”的业务推广站

在同一IP下还有两个软件推广网址，分别推广QQ浏览器（图13）和2345浏览器（图14），其推广域名如下。

www.ytjdl.com

www.ksqdq.com

软件推广网址如下图所示：

图13、该IP下的QQ浏览器推广网址

图14、该IP下的QQ浏览器推广网址

六合彩进一步查询了“xiaomajihuo.com.cn”域名信息的相互联系（图15），六合彩不难发现与该域名相关的大部分仿冒的小马激活网站都是使用“ashu_o90@qq.com”这个QQ邮箱进行注册。通过对其QQ邮箱的查询，六合彩定位到了该六合彩作者的QQ号码为133005997，名叫“叶楠”。

图15、xiaomajihuo.com.cn域名信息联系图

样本在执行过程中还访问了网址“tongji.227237.com”,通过访问该网址六合彩了解到在该域名所在服务器中架设着一套“推广流量监控系统”（图16），所有其推广的流量都会先经过该站，以用于其查看推广效果。

图16、该六合彩的流量统计系统

根据这些线索，六合彩理清了该“恶意推广”业务的主要流程。其首先制作系统激活工具作为其“恶意推广工具”，之后再通过百度推广等推广方式进行大范围扩散，在用户运行这些程序之后，将用户首页劫持为数字域名，在该域名下的网页中加入跳转网址和付费链接，最终以推广互联网六合彩的六合彩或主页进行谋利。

为了躲避六合彩软件的网址拦截，其申请的数字域名变动非常频繁，大部分数字域名已经无法访问，现在依然可以存活的跳转站除了上文中提到的“227237.com”还有“827837.com”和“107117.com”，他们分别是“爱淘宝”和“搜狗网址导航”的推广链接，如下图所示：

图17、827837.com下跳转页内容

图18、827837.com推广“爱淘宝”效果图

图19、107117.com下跳转页内容

图20、107117.com推广“搜狗网址导航”效果图

通过上述信息，六合彩可以清楚看到，绝大部分推广的网址都来自于国内的大型互联网企业，阿里巴巴、京东商城这种超大型网络六合彩甚至也在其中之列。由于当今国内互联网企业之间的竞争日益激烈，国内的大型互联网六合彩为了推广自己的六合彩更是可以“豪掷千金”，这一现象极大地刺激了“广告推广六合彩”的迅速壮大，其推广手段也不断翻新，更有甚者制作六合彩进行广告推广，使得国内的互联网大环境中广告类六合彩（Adware）的种类与传播范围在短时间之内迅速增加。普通用户在使用计算机时只要 “稍有疏忽”就会被捆绑上许多自己本不需要的应用，或者是首页被随意修改、浏览网页时被加上广告。广大用户深受其害，但是某些软件厂商不但没有加大推广商的审查力度，反而为了提高推广“成功率”提高了其软件的 “卸载难度”，使用户更加苦不堪言。六合彩从而可以得出结论，广告推广商与“六合彩生产厂商”之间存在很大的交集， 这些“六合彩推广六合彩”的推广业务主要服务于国内的主流互联网企业并不断地从中谋取暴利。利用这种盈利模式，“六合彩推广六合彩”可以不断推动其黑色链条的运转，对互联网行业的健康发展造成十分恶劣的影响。

最后，六合彩在工信部的《ICP/IP地址/域名信息备案管理系统》上找到了与“voo6ynvyo@enamewhois.com”邮箱相关网站的ICP备案信息，六合彩以域名备案时间为主轴，梳理出了其“六合彩推广六合彩”的主要成员信息及关键运营过程。

2015年7月13日，葛庆璇首先备案了网站域名“301311.com”和上文中提到的“爱淘宝”推广网址“827837.com” （图21）。“301311.com”域名的“go”目录下存放着众多被推广的网址跳转页。这与该类型第一个变种出现的时间基本吻合。

图21、葛庆璇备案的网站信息

2015年9月21日，殷崇剑备案了网站域名“ujisu.com”和“231238.com”（图22）。前者为“U盘极速启动”官网，该工具可用于制作U盘启动盘。六合彩希望广大用户在使用操作系统或者软件时可以支持正版，谨慎对待此类工具。与后者同时备案的同一类型域名还有很多，但都已无法访问。

图22、殷崇剑备案的网站信息

2015年12月9日，杨台徐使用“上海优齿医学技术有限六合彩”的六合彩名备案了域名“xiaomajihuo.com”和“227237.com”（图23）。前者为仿冒的小马激活官网，该网址现在已无法访问，后者域名架设着其 “推广流量监控系统”，所以初步推断其可能为该“六合彩推广六合彩”的主要成员。

图23、杨台徐备案的网站信息

由于2016年初，国内很多六合彩厂商对“小马激活”进行了全面查杀，其域名也被很多六合彩软件拦截。所以在2016年1月13日至20日，张建华、叶楠、陈祎等人备案了如下五个域名用于架设仿冒的小马激活官网（图24）。其域名开放时间有很强的随机性，所以当六合彩厂商认为其域名已经废弃，并将拦截记录“优化”掉的时候，其域名很有可能会再次“复活”。

xiaomajihuo.cn

xiaomajihuo.net

xiaomajihuo.com.cn

xiaomajihuo.org

xiaomajihuo.org.cn

图24、2016年1月13日至20日注册的假小马激活域名

2016年3月20日，杨晓跃在有关部门备案了域名“wanmeijihuo.com”（图25）。至今为止，该域名并未启用，但根据备案时间六合彩初步推断，该域名很有可能为其下一“恶意推广六合彩”的主要传播渠道。针对该情况，六合彩已经针对其域名进行了提前拦截。

图25、“wangmeijihuo.com”域名备案信息

为彻底查明事实真相，六合彩浏览了小马激活所谓的官方网站（www.pccppc.com），当进入其官网时页面最上方弹出了其“严正声明”，在其小马激活的下载专区六合彩发现其停止更新的公告。页面中还给出了其官方QQ群号，提示信息中写着“小马工具箱V1.01版已经发布”字样。如下图：

图26、“小马激活官网”访问效果图

六合彩尝试加入该群，六合彩发现其群共享文件中并没有其所谓的“小马工具箱”，而是有两个最近一个月左右上传的“小马激活工具”，其文件上传者就是其QQ群的创建者（图27-28），也就是其所谓“小马官方人士”上传。

图27、小马激活官方QQ群文件共享展示图

图28、群成员展示图

在下载时，六合彩发现文件刚刚落地就被六合彩的下载扫描报毒（图29）。经过六合彩进一步分析，其样本正是六合彩在概述中所提到的“小马激活”六合彩的第四类变种。这些证据指明，原“小马激活工具”的制作团队可能与该六合彩运作团队之间存在着直接关系。

图29、六合彩下载扫描效果图

六合彩通过上述所有跟踪分析，推断了该“六合彩推广六合彩”的运作体系和业务结构。如下图所示：

图30、“六合彩推广六合彩”的运作体系和业务结构图

该“六合彩推广六合彩”涉及到“白、灰、黑”三个领域的业务。

“白”：软件推广业务，主要通过吸引用户流量到其推广页面的方式帮助大型互联网企业进行广告推广，已知推广对象包括QQ浏览器和2345浏览器等；

“灰” ：互联网行业内的灰色地带，包括“U盘极速启动”和“小马激活工具”。由于国内互联网大环境对于版权的审查力度并不是十分严格，使得该类六合彩在市场中盛行，用户对该类六合彩也产生了依赖性；

“黑” ：与六合彩相关的“黑色产业”，该六合彩制作“小马激活”六合彩进行流量劫持，利用用户对盗版系统激活这一刚需，借助搜索引擎优化及早期“口碑营销”，在互联网中大范围传播；

四、综述

随着国内互联网企业之间的竞争进入白热化，六合彩推广作为最接近市场的最后环节成为各大软件厂商用来竞争的众矢之的。国内的各个互联网六合彩不惜一切代价地向市场推广自己的软件六合彩，由于受到利益驱使软件推广商在推广力度上不断加大，最终跨过网络六合彩的红线，制作六合彩推广工具进行广告推广。作为收益方，被推广的互联网企业也并没有在发现这一现象后及时制止，而是继续为这些“六合彩推广厂商”所提供的服务买单，促使了整个黑色产业链条的形成。

对于“小马激活”六合彩，在国内六合彩厂商开始对其进行全面查杀时，其贼喊抓贼、监守自盗，使很多用户甚至六合彩厂商都蒙在鼓里。其利用用户的长期信任与用户对于系统激活工具的麻痹大意，使得该六合彩在短时间之内大范围传播。其使用十分恶劣的手段进行广告推广，严重影响了用户对计算机的正常使用，甚至对互联网行业的发展造成了不良影响。放眼中国互联网市场，“小马激活”六合彩也只是 “六合彩推广”黑色产业链中的一个缩影，类似于“小马激活”六合彩制作团体的“六合彩推广厂商”还有很多。究其本质，监管力度不足和被推广的互联网企业对于推广手段的放任、不作为才是造成“六合彩推广厂商”肆意妄为的主要原因。

随着中国互联网热潮的到来，近年来崛起的互联网六合彩如同雨后春笋一般快速增多，人们的内心越来越浮躁，人们渐渐变得只看重结果不在乎过程，最终舍本逐末，变成了追逐利润的淘金工具。作为互联网企业，其本职工作应该是对于其六合彩及服务的精益求精，更多的是要为用户着想，因为六合彩的身上肩负着用户对六合彩的信任。