流氓软件“拉法日历”近期活跃 多数来自下载站-爱代码爱编程

近期，火绒安全实验室根据用户反馈，发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播，目前感染量达数万台。该病毒被植入终端后，会通过下载执行恶意驱动模块的方式，向用户实施捆绑安装、广告弹窗等恶意行为，严重威胁用户的信息安全。值得注意的是，该病毒仍在持续更新中，不排除后续下发新的恶意模块，添加新的恶意功能。目前，火绒安全软件已对该病毒进行拦截查杀。

火绒查杀图

21压缩下载界面

火绒安全实验室分析溯源发现，该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后，病毒会通过C&C服务器接收并执行病毒作者下发的各类指令，包括下载恶意模块，搜集用户访问的web站点信息，甚至具备恶意代理功能，可控制用户电脑作为流量跳板，使用户电脑成为黑客的代理服务器。同时，会在后台静默安装大量软件，造成电脑卡顿，还会定期弹出广告窗口。

今年315晚会，央视曝光了下载站的诸多乱象，如强制弹出、捆绑安装、诱骗下载等。火绒安全实验室近年来也在持续对下载站乱象进行关注，并曾多次曝光过病毒借助下载站传播的事件，由此可见下载站也已经成为病毒的主要传播渠道。

对此，火绒安全再次提醒广大用户，下载软件请通过官方网站；如必须使用某些不明程序，可以提前开启安全软件进行扫描、查杀，或者前往火绒官方论坛求助，确保文件、程序安全后再运行，以免遭遇风险。

一、背景
病毒恶意行为执行流程图，如下图所示：

二、详细分析
“拉法日历”主程序
“拉法日历”主程序名为LFCalendar.exe，但其本身不具有日历相关软件功能，主要功能是加载恶意驱动模块。首先从可执行文件资源中解密释放恶意驱动文件，之后为恶意驱动创建启动项。相关代码，如下图所示：
创建恶意驱动启动项，相关代码，如下图所示：

恶意驱动主模块
udwnapi.sys为恶意驱动主模块，根据C&C服务器下发的恶意配置信息下载执行其他恶意驱动模块。该病毒可以将受害者进行分类，针对不同的受害者下发不同的恶意配置信息。
从C&C服务器获取恶意配置信息，相关代码，如下图所示：

接收到的恶意配置信息，如下图所示：

根据C&C服务器下发的配置信息，下载执行其他恶意驱动模块。相关代码，如下图所示：

内存映射执行恶意驱动模块。相关代码，如下图所示：

恶意驱动过滤模块
该病毒会通过网络过滤驱动收集受害者访问的网址信息，当驱动检测到用户访问特定的站点时，即会弹出广告网页，被检测的网址包括：www.baidu.com 等。该病毒使用两种方式来判断是否弹出广告网页，第一种方式是在本地根据C&C服务器下发的规则进行判断；第二种则会将用户访问的网址信息发送给C&C服务器，由 C&C服务器决定是否执行弹出广告网页的代码逻辑。由于所有用户访问的网址信息均会被上传至病毒服务器中，导致中毒用户的信息安全可能会受到不同程度侵害。
由C&C服务器判断是否弹出广告（pop.sys）
记录受害者访问的web网址，相关代码，如下图所示：

将网址发送给C&C服务器，等待服务器返回响应结果后，将相关信息插入等待列表中。相关代码，如下图所示：

本地判断是否弹出广告（homepop.sys）
C&C服务器下发的本地网址过滤规则，如下图所示：

当网络过滤驱动检测到访问特定的网址时，将相关信息插入等待列表中，相关代码，如下图所示：

弹出广告网页（ExpFc64.dll）
推广模块会获取等待列表，并弹出广告。相关代码，如下图所示：

火绒剑检测到的行为信息，如下图所示：

恶意驱动代理模块
proxy.sys驱动代理模块，会使受害者终端成为黑客的代理服务器资源，来转发C&C服务器下发的的网络请求。恶意代理功能执行流程，如下图所示：

转发逻辑代码，如下图所示：
恶意推广模块
ExpFc.dll作为恶意推广模块，具有多种恶意推广手段，如：后台静默推广软件、弹出广告网页、弹出广告窗口、劫持相关网页等恶意行为。dll.sys驱动会将恶意代码注入Explorer进程中执行恶意行为，以提高相关病毒模块的隐蔽性。
注入Explorer
恶意驱动dll.sys通过HOOK TranslateMessage函数来执行Shellcode，相关代码，如下图所示：

Shellcode会将恶意推广模块内存映射进Explorer进程内存中，相关代码，如下图所示：

恶意推广行为
弹出广告网页相关代码，如下图所示：

后台静默安装推广软件，相关代码，如下图所示：

火绒拦截到的软件安装行为，如下图所示：

弹出广告窗口，相关代码，如下图所示：

三、溯源分析
火绒工程师通过对“拉法日历“进行溯源分析，发现该程序以静默安装包的形式被推广到用户电脑上，在用户并不知情的情况下被安装上，该安装包的数字签名是上海九罗网络科技有限公司，相关信息，如下图所示：

对上海九罗网络科技有限公司进行溯源，产权信息，如下图所示：

在分析过程中，火绒工程师发现21压缩软件会推广此病毒程序，21压缩数字签名如下图所示：

对重庆智领云英教育科技有限公司进行溯源，确认21压缩为该公司所开发软件，产权信息，如下图所示：

对21压缩进行溯源发现21压缩由第三方下载站和高速下载器进行传播，虽然推广21压缩的高速下载器已经全部下架，但第三方下载站还存在大量21压缩相关软件。百度搜索“21压缩”，可以看到不同下载站关于21压缩的软件下载链接。相关信息，如下图所示：

四、附录
C&C服务器:

SHA256: