溯源分析

　　如前文所述，我们通过火绒终端威胁情报系统发现，带有该后门病毒的游戏微端安装包并不只有《传奇世界》。在火绒对大多数主流下载站进行排查之后，我们发现 “下载吧”和“电脑之家”下载站现今所提供的高速下载器会推广该病毒安装包。如下图所示：

▲推广列表

　　如上图，虽然病毒安装包释放的动态库名称不尽相同，但是调用参数与前文所述tdzs.dll完全相同，且代码逻辑也完全相同。这些病毒安装包的下载地址都来自于域名“hxxp://cdn.xunshark.cn”，且这些病毒安装包与前文提到的病毒安装包(cqsj_Y_905908_feitian.exe)签名同为“北京迅XXX有限公司”签名。如下图所示：

▲安装包签名信息

　　安装包所释放病毒动态库签名信息也同为“北京迅XXX有限公司”，如下图所示：

▲病毒动态库文件签名信息

　　该组病毒文件中，up_zlib1.dll的签名信息还涉及另一家公司“北京神州XXXXXX有限公司”。签名信息，如下图所示：

▲up_zlib1.dll签名信息

　　通过搜索该公司的知识产权信息，我们找到另一款同样带有该模块的软件。如下图所示：

▲软件著作权信息

　　在下载柠檬输入法软件安装后，我们也发现了具有相同数据和代码逻辑的“zlib1.dll”。如下图所示：

▲软件下载

　　对”up_zlib1.dll”和柠檬输入法中的“zlib1.dll”动态库脱壳后，可见同源性代码及数据，如下图所示：

▲代码同源性

▲数据同源性

　　附录

　　文中涉及样本SHA256：

　　文中样本所所涉及的域名及IP地址：