一、 概述
近日，火絨安全團隊發現，用戶在知名下載站”系統之家”下載安裝”小馬激活”及”OFFICE2016″兩款激活工具時，會被植入病毒”Justler”，該病毒會劫持用戶瀏覽器首頁。病毒”Justler”作者極為謹慎，會刻意避開北京、廈門、深圳、泉州四個網絡安全監察嚴格的地區的IP。除這幾個地區以外的用戶，下載到的軟件均可能帶毒。據”火絨威脅情報系統”監測和評估，截至目前，該病毒感染量已近60萬。
 

病毒”Justler”通過知名下載站”系統之家”（xitongzhijia.net）傳播。當用戶試圖下載”小馬激活”及”OFFICE2016″兩款激活工具時，”系統之家”會識別訪問IP，當用戶IP地址不屬于北京、廈門、深圳、泉州四個地區時，則會跳轉到被植入病毒代碼的軟件下載鏈接。
另外根據跳轉鏈接域名，我們進一步發現了一個站點名同為”系統之家”（win.100ea.com）的網站。而該網站中提供的系統盤也同樣攜帶病毒”Justler”。
一旦運行”小馬激活工具”、”OFFICE 2016激活工具”安裝包，病毒”Justler”也隨之被激活。之后，該病毒將篡改被感染電腦的瀏覽器首頁，劫持流量。
火絨安全團隊發現，利用激活工具和系統盤進行傳播病毒和流氓軟件的現象有逐漸增多趨勢。由于激活工具通常是裝機后首先安裝的軟件，因此此類病毒和流氓軟件利用介入時機更早的優勢與安全軟件進行對抗。
“火絨安全軟件”最新版可攔截并查殺病毒”Justler”。對于已經感染該病毒的非火絨用戶，可以下載使用”火絨專殺工具”徹底查殺該病毒。
二、 樣本分析
本次火絨所截獲的病毒樣本將自己偽裝成了小馬激活工具，在運行原版小馬激活工具的同時，還會釋放加載惡意驅動進行流量劫持。樣本來源為名叫 “系統之家”的軟件站（www.xitongzhijia.net），該站點在百度搜索”系統之家”后的搜索結果排名中居于首位，且被標注有”官網”標志。百度搜索”系統之家”后的搜索結果，如下圖所示：
 

百度搜索結果
該站點主頁頁面，如下圖所示：
 

站點頁面
病毒將自己偽裝成小馬激活工具，病毒在運行首先會釋放運行原始的小馬激活工具，之后會釋放加載病毒驅動進行流量劫持。病毒的下載頁面（hxxp://www.xitongzhijia.net/soft/28841.html）會根據訪問者IP的不同而變化，例如當訪問用戶的IP對應區域為北京時，下載地址鏈接，如下圖紅框所示：
 

病毒下載頁面（北京IP訪問）
但在我們使用HTTP代理訪問后，下載地址鏈接出現了變化，變為了百度云盤下載。通過一段時間的測試我們發現，在使用HTTP代理的情況下，下載頁面并不是每次都會顯示百度云盤下載鏈接，病毒作者可能利用這種方式對抗安全廠商的樣本收集。下載頁面，如下圖所示：
 

病毒下載頁面（HTTP代理訪問）
點擊上圖中的”百度云盤下載”鏈接后，頁面會跳轉至hxxp://go.100ea.com/oem9/down.html。該頁面中包含的JavaScrIPt腳本可以根據用戶的當前IP地址所屬地域，跳轉至不同的百度云盤地址。如果通過IP地域查詢，獲取到當前所屬城市為北京、廈門、深圳或泉州，則會跳轉到無毒版本小馬激活工具的百度云盤下載頁面；如果當前所屬地為其他城市，則會跳轉到帶毒小馬激活工具的下載地址。腳本內容，如下圖所示：
 

跳轉腳本內容
帶毒小馬激活樣本由三層釋放器構成，病毒整體結構如下圖所示：
 

病毒整體結構
三層釋放器中都帶有檢測安全軟件的代碼邏輯，如果檢測到安全軟件則會彈出提示”為了順利激活系統，請先退出殺毒軟件”，最后退出執行。提示彈窗，如下圖所示：
 

提示彈窗
相關代碼，如下圖所示：