Xcode编译器引发的苹果病毒大爆发事件还未平息，又一起严重的网络资源带毒事故出现在PC互联网上。

这是一个名为Killis（杀是）的驱动级木马，该木马覆盖国内二十余家知名下载站，通过各大下载站的下载器或各种热门资源传播，具有云控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测，最近10小时内，Killis木马已经攻击了50多万台电脑。

0x01 Killis木马传播：下载站隐蔽推广

下载站遍布暗雷的广告位诱导早已不是什么新鲜事了。但试问：即便是如同枪林弹雨中左躲右闪的士兵一样躲过了所有的“陷阱”，你就安全了么？

答案是否定的，因为Killis木马的源头就隐藏在一些知名下载站的真实下载地址中。

以国内某大型下载站为例，当用户点击一些资源的真实下载地址后，下载回来的首先是一个下载器（http:[email protected]_114617.exe）：

这个程序运行后，除了为用户下载原本需要的资源以外，它同时会向服务器请求一个推广列表：

Killis木马就在这时进入电脑。再看带有Killis木马推广行为的下载站列表，只要你在国内下载站下载文件，几乎无可避免会遇到Killis木马的侵袭，此木马背后产业链的流量控制能力由此可见一斑：

0x02 KILLIS木马分析：AV终结者+全功能流氓推广器

Killis木马伪装成“传奇霸业”的端游客户端，并利用一些公司泄露的过期签名，为自己签发木马。而这个游戏客户端只是个幌子，木马真正的功能是将用户计算机做为一个刷量终端，不断的进行推广。此木马可以云控安装软件，安装插件，放桌面放快捷方式，改桌面快捷方式，改桌面图标，杀指定进程。Killis作为一个全功能的推广器隐藏在受害用户计算机中，并且还有一个杀进程驱动，用来结束多家杀软的进程，防止木马推广被拦截。

木马原始包：629c04c150ef632b098fe65cf3ff3b60

木马驱动，带有一个过期的签名：4f504c748025aa34d9c96d0e7f735004

Xuanyi Electronic (Shanghai) Co., Ltd.

被这个木马利用的签名列表：

Open Source Developer, 东莞市迈强电子科技有限公司
Luca Marcone
Baoji zhihengtaiye co.,ltd
Jiangsu innovation safety assessment Co., Ltd.
Wemade Entertainment co.,Ltd
Beijing Chunbai Technology Development Co., Ltd
Fuqing Yuntan Network Tech Co.,Ltd.
Guangzhou Kingteller Technology Co.,Ltd.
Shenzhen Liantian Technology Co., Ltd
Xuanyi Electronic (Shanghai) Co., Ltd.

用来做伪装的游戏安装包：