一、概述

近日，腾讯安全威胁情报中心检测发现，UU页游助手通过其软件升级通道，传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒，本次由于通过借助UU页游助手推广渠道流氓传播，使得该病毒在短时间内其感染量激增，受害网民已过万，分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。

二、病毒分析

UU页游助手安装完毕后，会在安装目录内安装名为PopTip.exe的模块，该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。

PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等，例如下图中从云端拉取的Mini页信息。

由于广告窗口没有显示厂商标识，没有广告来源信息，该软件在系统托盘区闪动消息提示，点击后会自动创建桌面页游图标，这些行为令用户十分反感。而PopTip.exe模块提供的升级功能，较多使用了流氓手段恶意推广安装，其中甚至包含病毒木马文件。

PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件：该窗口右上角的关闭按钮，无论如何点击均无法关闭，该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊，颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成，UU游戏助手则进行全程静默安装行为。

当前版本的poptip.exe模块通过以下两个地址，拉取推装程序到Roaming目录静默安装执行：

hxxp://bb8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6A6K9%4g2#2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8H3i4K6u0r3h3g2S2o6L8$3&6$3k6i4u0@1i4K6g2X3x3e0l9#2x3K6l9I4i4K6u0W2k6i4S2W2i4@1g2r3i4@1u0o6i4K6R3^5i4@1f1@1i4@1u0m8i4@1u0r3i4@1f1^5i4@1u0r3i4K6R3#2i4@1f1#2i4K6W2n7i4@1u0q4i4@1f1%4i4K6R3&6i4K6R3%4i4@1f1^5i4@1u0p5i4@1q4o6i4@1f1$3i4K6S2p5i4@1p5J5i4@1f1#2i4K6V1&6i4@1p5^5i4@1g2r3i4@1u0o6i4K6R3&6

Hxxp://a3eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6A6j5e0M7%4z5o6S2Q4x3X3g2@1L8%4m8Q4x3@1p5%4y4K6R3^5i4K6u0r3L8X3g2%4i4K6u0r3j5e0p5H3z5g2)9J5k6h3g2^5k6g2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4y4q4!0n7b7#2)9&6z5q4!0q4y4g2)9^5b7#2)9&6y4W2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4c8W2!0n7b7#2)9&6b7g2!0q4y4g2!0m8c8g2)9&6c8g2!0q4z5g2)9&6z5g2)9^5y4g2!0q4y4q4!0n7z5q4!0n7b7g2!0q4y4#2)9&6y4#2)9^5y4g2!0q4y4W2!0m8c8W2)9&6x3W2!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4q4!0n7b7W2!0n7y4W2!0q4c8W2!0n7b7#2)9^5z5b7`.`.

a109.exe模块会判断当前系统内是否包含安全软件的进程，当进程存在则向其窗口发送WM_QUIT尝试退出相关进程，同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码，释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序，将独狼Rootkit模块植入到系统内。

独狼Rootkit病毒，该病毒的特点之一是通过创建Minifilter文件过滤系统，用户使用系统文件管理器就会发现Drivers目录不可见，同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件，意思是，当你试图查看那些莫名其妙进来的随机文件名驱动文件时，你看到的实际是acpi.sys。

独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。

独狼rootkit病毒会向浏览器进程注入恶意代码，实现劫持浏览器启动命令行，达到主页劫持的目的。分析发现，当前主页配置信息暂未下发，病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期，保留了部分恶意行为暂不执行，当其感染量到达一定程度时，再随时下发劫持指令，实现浏览器劫持功能。

独狼Rootkit病毒可劫持数十款主流浏览器软件，包括IE、Chrome及其他国内用户常见的浏览器等等：

以插apc的方式向浏览器注入恶意代码：

我们通过对该病毒以往版本的分析，知道该病毒可以简单修改或升级配置，实现对浏览器主页的锁定功能，通常会将浏览器主页劫持到带推广id的2345广告站点。

当前病毒配置

简单构造病毒劫持配置文件desktop.ini

打开浏览器主页发现主页已被劫持到指定地址：

三、解决方案及安全建议

网上各种小众工具软件分发渠道良莠不齐，不少软件下载站暗藏玄机，很容易下载安装不需要的软件，甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件，或者通过腾讯电脑管家的软件管理功能下载需要的软件，启用腾讯电脑管家的权限雷达，帮助过滤软件包中存在的静默安装、恶意弹窗，管理开机自动运行等有损用户体验的情况发生。

腾讯电脑管家查杀UU页游助手

管家急救箱清理独狼Rootkit木马

腾讯安全产品针对UU页游助手传播独狼Rootkit病毒的解决方案清单：

IOCs

MD5：

717d43d175430844467993ac4834396f

21a9876550dcebe12df9ec1011a01035

75f39f61ecc20a088766eb319d1ec9e2

7652ad8e2c69bef67c786eff3e9e3ef3

51991e47adb0b9160f077a0fc722f115

238b0180e66d16309efe50143b46560d

94f31a6d0d3243811705e0c9796cf060

8ec5ee614f76d0c547e2b76a52e8dae2

1374c22e5c861813c82bf6a1c8c159f9

Domain:

2a3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6A6j5e0M7%4z5o6S2Q4x3X3g2@1L8%4l9`.

update.uuyyzs.com

URL

hxxp://update.uuyyzs.com/query_action.php（UU页游助手云控地址）

Hxxp://3efK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6A6j5e0M7%4z5o6S2Q4x3X3g2@1L8%4m8Q4x3@1p5%4y4K6R3^5i4K6u0r3L8X3g2%4i4K6u0r3j5e0p5H3z5g2)9J5k6h3g2^5k6g2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4#2)9^5b7W2!0m8b7#2!0q4y4#2)9^5b7W2!0n7b7#2!0q4y4#2)9&6y4#2)9^5y4g2!0q4y4W2!0m8c8W2)9&6x3W2!0q4y4W2!0m8c8W2)9^5c8q4!0q4y4q4!0n7c8q4)9&6x3#2!0q4y4W2)9^5b7g2)9&6y4g2!0q4z5g2)9^5x3q4)9&6x3W2!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4g2)9&6c8q4)9^5x3q4!0q4c8W2!0n7b7#2)9^5z5b7`.`.

相关签名信息：

南京凡游网络技术有限公司（UU页游助手签名，经验证不通过）

深圳市克罗姆科技有限公司（独狼病毒使用签名，经验证不通过）

[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦！！！