又是一年开学季，对于宽大怙恃来说，孩子开学可谓是“万兽归笼，普天同庆”，焦躁了一暑假的老父亲老母亲们总算得到了灵魂大解放，本想在家开开心心看个《甜蜜蜜》，效果一打开却发现1080P的高清电视连续剧，竟然在电脑屏幕上卡成了PPT，这源头还得从最近臭名昭著的“祸乱”僵尸网络提及。

近期，360平安大脑监测到“祸乱”僵尸网络行使十多款流氓软件，下发流量暗刷、ku、和静默软件推广三个病毒模块，攻击了多达12万台电脑，导致不少用户在使用电脑时代，泛起运行卡慢甚至自动安装QQ音乐、简压压缩、旋风PDF等多达20种软件的情形，严重影响了用户的使用体验。

​

 “祸乱”僵尸网络卷土重来

新增静默推广病毒模块肆意敛财

事实上，这并不是“祸乱”第一次在网络上发动大规模攻击。早在今年7月份， 360平安大脑就曾监测阻挡过“祸乱”僵尸网络的异动，彼时其搭载流氓软件下发流量暗刷和ku两大病毒模块，双管齐下暴力敛财，导致25万台电脑运行受到影响；现在，“祸乱”卷土重来，携“暗刷”、“ku”、“静默推广”三大攻击手段再度来袭，肆意损害用户电脑以牟取暴利，可谓来势汹汹。

本次“祸乱”僵尸网络静默推广的软件列表

此外，360平安大脑还监测到本次流传的“祸乱”病毒样本总共用到了7种差别的有用数字签名，云云大手笔的投入，可以想象这个僵尸网络能给其背后的黑产团伙带来多大的利益。不外宽大用户无需忧郁，现在360平安卫士已周全阻挡“祸乱”僵尸网络的连环攻击，建议宽大用户实时下载安装360平安卫士珍爱电脑隐私及财富平安。

本次“祸乱”僵尸网络使用到的七种数字签名

​

360平安大脑深度溯源

还原“祸乱”攻击委曲

为制止该攻击熏染面积进一步扩大，360平安大脑经由深度溯源剖析后，周全还原了“祸乱”僵尸网络攻击全貌。数据显示，本次“祸乱”僵尸网络依然会通过“迅捷看图”、“魔方免费接单平台”、“无忧看图”等十多款流氓软件举行流传，在熏染方式上与旧版并无太大转变，但在其下发的盈利模块中，除暗刷、ku外，却增加了一个用于恶意推广的病毒驱动RomFS.sys，，文件属性如下所示：

​

该驱动在启动之后会将病毒动态库注入到系统历程中，动态库的字符串和导入表均经由了混淆处置，运行后先经由异或解密，还原字符串和导入表：

​

然后检测调试和虚拟机环境：

​

挂钩LdrLoadDll克制下列平安模块的正常加载：

​

之后会网络系统信息发送到C&C服务器请求配置文件：

​

然后解密从服务器返回的加密数据：

​

最终解密出一个json花样的配置文件，并将其保存到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\cpuID中，解密后的配置文件如下图所示：

​

配置文件中差别的CLSID代表差别的分支，对应CLSID的注册表则用来存储加密后差别的病毒模块，当动态库检测到对应的注册表键值存在时，便会读取其中的加密模块举行解密加载，相关的解密历程如下：

​

最终解密出的病毒模块会执行恶意推广的病毒逻辑，其完整流程如下所示：

​

云云缜密的静默推广方式，再配合“流量暗刷”、“ku”两大攻击模块，“祸乱”一旦入驻用户电脑，必将给其带来伟大危害。为防止该僵尸网络攻击熏染局限进一步扩大，360平安大脑建议宽大用户做好以下防御措施，珍爱电脑隐私及财富平安：