电脑桌面上惊现 爱淘宝 快捷方式图标

一天在看韩剧时，无意间看到桌面上出现一个 爱淘宝 快捷方式 图标，以为是淘宝软件，唉不对吧，

alimamaagent.exe是什么鬼，不是淘宝.
近期11.11购物节，无数的网页、软件都充斥着“血拼双11”的广告，这时的电脑桌面如果多了几个双11相关的快捷方式，或者浏览器主页被锁定成推送网购内容的导航网站，你会不会认为这也是正常的呢？真实的情况却是你的电脑很有可能中马了。近期腾讯反病毒实验室拦截到流氓软件“多彩便签”正在大量推广一个伪装成“阿里妈妈推广程序”的木马，该木马强对抗杀软，恶意锁主页，危害十分严重。

文件名：AlimamaAgent.exe
MD5：7c428f8759b9015409e87acfa50646c2
推广渠道：多彩便签
母体AlimamaAgent.exe行为

木马母体伪装成阿里妈妈推广程序，其资源中放有三个文件，一个是真正的阿里妈妈推广程序AlimamaAgent.exe，一个是木马文件，另一个是配置文件。母体运行后首先判断系统启动了多久，如果不超过5分钟的话则释放出木马并执行，然后再释放阿里妈妈推广程序；如果已经超过5分钟的话则只释放阿里妈妈推广程序，不释放木马。此方法可以绕过很多未重启的自动化分析系统、沙盒等。同时系统刚启动的数分钟内通常是安全软件防御的薄弱时期，此时木马往往可以乘虚而入，执行敏感操作。

木马只在开机5分钟内运行，用于绕过安全软件主防和自动分析系统等

释放真正AlimamaAgent.exe并执行，该文件是阿里妈妈官方推广程序，主要功能是在桌面释放两个快捷方式进行相关推广，双11是其推广的主题

木马sbffdm.exe行为

Sbffdm.exe是木马的安装程序，其功能是释放出木马的主功能文件并加载，总共会释放3个驱动文件、1个exe文件和1个dll文件。同时该木马会判断自身文件名，如果不符合规则，则直接退出程序，可能是用于绕过自动分析软件的分析。

释放CmBatt2.sys、secdrv2.sys、stisvc2.sys、zystatic.exe、zyinstall.dll五个文件,木马会首先判断系统类型，如果是64位系统，则释放的驱动为64位驱动

调用zyinstall.dll的接口，实现加载3个驱动文件

驱动CmBatt2.sys行为

CmpBatt2.sys主要用于锁定浏览器主页，锁主页的方式是通过注册创建进程回调，在回调函数中比较进程名的CRC32值，如果在列表中（木马内置了一个各种浏览器进程名的CRC32列表），则通过添加命令行的方式进行主页锁定。同时，该文件还负责清除与主页保护相关的其它文件。

可能为了免杀，该木马并未内置浏览器名称

木马的网络行为: 建立到一个指定的套接字连接;按名称获取主机地址;
ip.taobao.com
mmstat.ucweb.com
www.taobao.com

修改注册表
Hkey_users/s-1-6-20-579966832-365622319-2027556190-1000/software/AlimamaShortcuts

创建文件 debug.log

先把机器的主板序列号和硬盘序列号拿到了，试图创建或者更新任务栏快捷方式的时候发生了错误。

木马最终实现的锁主页效果

木马总是借着各种热点进行传播，在各大网站和各种圈子都被双11购物节刷屏的时候，管家提醒用户更要保护电脑安全，注意桌面图标、浏览器主页的变化，木马有可能借着双11的契机在你电脑上安家落户。如果发现主页被锁或者桌面莫名增加了图标，请及时检查杀毒。

双11过后，又是双12 , 请大家注意了。 吓坏宝宝了。