近期，360安全中心接到大量用户反馈，电脑出现浏览器主页被篡改，必应搜索莫名其妙跳转到百度页面等现象，经过我们分析之后，发现是感染了Netfilter病毒新变种。

通过溯源发现，该病毒伪装成KMSpico激活工具在下载站进行传播，感染用户机器后会篡改各大主流浏览器的配置文件，从而实现主页锁定和默认搜索引擎劫持的病毒逻辑，并且释放病毒驱动，实现必应等网站流量劫持的目的。

传播途径

病毒作者将KMSpico激活工具与病毒驱动及各种配置文件通过NSIS重新打包，发布在win7之家下载站进行传播。下载站下载页面，如下图所示:

详细分析

KMSpico.exe

原始的病毒文件是一个NSIS安装包，安装包目录如下图所示：

在运行后会先查找各主流杀毒软件的进程是否存在，如果存在则会提示用户退出杀毒软件，以防止在释放病毒驱动时被杀毒软件查杀。如果不存在杀毒软件进程，则会调用7zip主进程解压kms.dat文件并执行其中的kms.exe，解压密码为"aabbccdd"。检测的杀毒软件进程列表，如下图所示：

病毒执行逻辑如下图所示：

kms.exe也是NSIS安装包，安装包中包含原始KMSpico激活工具，病毒驱动以及各大主流浏览器配置文件。安装包目录如下图所示：

包含下列浏览器的配置文件：

病毒会先根据当前用户机器的MachineGuid生成病毒驱动名，并选择相应操作系统位数的病毒驱动进行加载，之后会篡改2345王牌浏览器和QQ浏览器的主页设置，并用病毒作者定制的浏览器配置文件替换当前用户的浏览器配置文件。执行流程，如下图所示：

病毒作者通过定制的浏览器配置文件，劫持用户的浏览器主页，搜索引擎，收藏夹等多个位置，部分配置文件如下图所示：

· 劫持主页

Firefox浏览器：

Chrome系列浏览器：

浏览器主页被篡改为hxxp://www.xiangqin7.com,访问该网站会重定向到下图所示网站给病毒作者刷量。

· 搜索引擎

Firefox浏览器：

Chrome系列浏览器：

篡改默认搜索引擎的设置，在用户使用默认搜索时，会增加病毒作者的推广号进行刷量。

· 收藏夹

该病毒还会将QQ浏览器的FavouriteTabDefault选项进行篡改，其中包括爱淘宝，龙珠直播，百度等网站。

驱动分析

病毒驱动通过对象劫持隐藏自身驱动信息，躲避分析与查杀，如下图所示：

利用ARK工具可以检测到两个fltmgr.sys内核模块：

病毒驱动通过注册映像加载回调，在svchost.exe进程加载ntdll.dll模块时，将病毒动态库注入到svchost进程的内存中，并且挂钩NtTestAlert函数，获得病毒代码的执行权限。注入逻辑，如下图所示：

当NtTestAlert挂钩被触发后会跳转到shellcode1进行执行，shellcode1会先恢复NtTestAlert位置的钩子，并调用shellcode2。

shellcode2会创建一个新线程，调用病毒动态库入口。代码逻辑，如下图所示：

病毒动态库

该动态库是Netfilter病毒新变种，在Netfilter原有的网络过滤功能之上，增加了劫持根证书和HTTPS流量过滤的功能。与旧版本Netfilter病毒部分数据对比，如下图所示：

当病毒动态库运行时，会使用病毒携带的根证书替换浏览器原来的根证书，证书名称为"Verisign"，相关代码，如下图所示：

替换前后证书对比：

被注入的svchost.exe进程会绑定一个本地监听端口，以代理的形式将浏览器的https流量重定向到此端口，以中间人劫持的方式篡改等网站的搜索请求，将其篡改为百度搜索，并增加推广号（tn=94949583_hao_pg）刷取流量。利用fiddler观察流量劫持流程，如下图所示：

查杀建议

1， 激活工具和破解软件近些年来一直都是病毒木马传播的绝佳途径，为了保护用户隐私和计算机安全，建议广大用户不要使用此类软件。

2， 目前360安全卫士以支持此类病毒查杀，如果浏览器主页被锁定为，或者电脑出现必应搜索跳转到百度网站的现象，建议安装360安全卫士进程查杀。

下载地址：

文中涉及到的样本：

MD5:40b212e5a0f7d1a7b5bf58518009ab35