流氓軟件巧壓卸載仍留惡意模塊隨時「復活」一招教你徹底清除

2020 年 3 月 11 日
筆記

【快訊】近日我們收到大量用戶反饋，一款名為「巧壓」的壓縮軟件卸載後還會「復活」——重新安裝到用戶電腦中。火絨工程師分析後發現，在用戶執行卸載操作時，「巧壓」會將惡意模塊駐留在用戶電腦中，並可以通過惡意代碼從雲控服務器下載執行任意可執行文件。用戶大量反饋的「復活」現象，不排除是通過該雲控邏輯實現。根據「火絨威脅情報系統」監測和評估，目前受到「巧壓」影響的用戶或在百萬級左右。

「巧壓」除了卸載不掉以外，還會產生大量彈窗廣告，嚴重干擾用戶日常電腦的使用。目前火絨為用戶提供以下兩種解決方法：

1、徹底卸載

用戶通過「控制面板」卸載「巧壓」後，使用「火絨安全軟件」進行全盤掃描，即可徹底卸載該軟件。

2、保留壓縮功能

用戶直接使用「火絨安全軟件」進行全盤掃描，即可徹底刪除惡意模塊以及彈窗廣告模塊，只保留壓縮功能。

關於「巧壓」是如何駐留用戶電腦的，請見我們的詳細分析報告。

附：【分析報告】

一、背景

近期，火絨接到大量用戶反饋稱壓縮軟件巧壓，在軟件被卸載後會「復活」重新裝回用戶電腦，隨後我們針對巧壓的相關流氓行為進行了詳細分析。該流氓軟件在卸載後，服務項和Shell擴展項依然會駐留在用戶電腦中。上述駐留項被調用後，最終會調用駐留在用戶電腦中的QiaoZipSvcHost.exe下載執行遠端服務器下發的可執行程序。雖然在報告發出時，我們未獲取到有效的「復活」相關遠端配置數據，但我們不排除眾多網友所遇到的巧壓「復活」的情況與相關邏輯有關的可能性。巧壓軟件卸載後的部分駐留模塊，如下圖所示：

巧壓軟件卸載後的部分駐留模塊

巧壓軟件卸載後駐留的Shell擴展項加載情況，如下圖所示：

駐留的Shell擴展項加載情況

巧壓軟件卸載後駐留的服務項加載情況，如下圖所示：

駐留的服務項加載情況

除此之外，該軟件在使用過程中還會產生較多的廣告彈窗，嚴重影響了用戶對個人電腦的正常使用。該流氓軟件產生的廣告彈窗，如下圖所示：

廣告彈窗

廣告彈窗

二、詳細分析

啟動方式

QiaoZipSvcHost.exe可由「QiaoZipSvcHost.dll」和「QiaoZipRMExtern.dll」模塊調用啟動，啟動流程大致相同，默認啟動間隔均為30分鐘。該流氓軟件執行流程，如下圖所示：

流氓軟件執行流程

QiaoZipSvcHost.dll啟動QiaoZipSvcHost.exe

後台駐留的服務由QiaoZipMd5Tool.exe模塊註冊。Install.exe安裝包程序執行後會解出QiaoZipMd5Tool.exe和用於服務執行的QiaoZipSvcHost.dll文件。QiaoZipMd5Tool.exe直接啟動時為帶有界面的Hash校驗工具，但也可以通過添加命令行參數的方式將QiaoZipSvcHost.dll靜默註冊為服務。相關程序運行信息如下圖所示：

程序運行信息

駐留的服務會在SeviceMain中創建線程，間隔固定時間（默認為30分鐘，也可通過註冊表項HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost鍵值retainPI設定分鐘數）啟動模塊QiaoZipSvcHost.exe ，參數為 -startby=1。 QiaoZipSvcHost.exe的路徑從註冊表中HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost鍵值uishP獲得。相關代碼如下圖所示：

ServiceMain中創建線程用於啟動模塊

每隔固定時間啟動

創建進程啟動

註冊表

QiaoZipRMExtern.dll啟動QiaoZipSvcHost.exe

QiaoZipMd5Tool.exe會將QiaoZipRMExtern.dll註冊為圖標處理程序組件（ShellIconOverlayIdentifiers），當explorer.exe處理文件圖標時，便會將其加載起來。相關註冊表項如下圖所示：

註冊表相關信息

駐留的QiaoZipRMExtern.dll模塊，會對自己當前所在進程是否是explorer.exe進行判斷，如果是，則通過註冊表鍵「eysTime」來查詢程序上次運行時間戳，相關代碼如下圖所示：

查詢當前所在進程並獲取上次運行時間戳

註冊表相關鍵值信息

當獲取上次運行時間戳成功後，會與當前系統時間進行運算比較。如果上次運行時間距離當前系統時間大於30分鐘，則程序繼續向下運行，否則繼續等待。相關代碼如下圖所示：

程序上次運行時間與當前系統時間進行運算比較

當滿足上述時間差條件後，程序會通過註冊表鍵「uishP」獲取QiaoZipSvcHost.exe的所在路徑。獲取成功之後，則會拼接運行參數「-startby=2」來執行QiaoZipSvcHost.exe。最後，獲取當前時間並更新註冊表「eysTime」的鍵值，相關代碼如下圖示：

通過註冊表鍵「uishP」獲取QiaoZipSvcHost.exe所在路徑

註冊表相關鍵值信息

啟動QiaoZipSvcHost.exe並更新「eysTime」鍵值

QiaoZipSvcHost.exe下載器

QiaoZipSvcHost.exe被調用後會將本地系統信息上傳到C&C服務器，請求地址如：hxxps://g.qiaoya.xsfaya.com/?r=/v2/api/config/wheel&category=0&manager=1&os=5&parent=1&qid=1&softid=17&uninstalled=1&vd=8&version=1.0.0.0&x64=1，請求會上傳用戶的系統版本、軟件卸載狀態、軟件版本等信息。服務器在接到請求後，會反饋下載相關配置數據。請求相關代碼，如下圖所示：