一天在看韓劇時，無意間看到桌面上出現一個 愛淘寶 快捷方式 圖示，以為是淘寶軟體，唉不對吧，

alimamaagent.exe是什麼鬼，不是淘寶.
近期11.11購物節，無數的網頁、軟體都充斥著“血拼雙11”的廣告，這時的電腦桌面如果多了幾個雙11相關的快捷方式，或者瀏覽器主頁被鎖定成推送網購內容的導航網站，你會不會認為這也是正常的呢？真實的情況卻是你的電腦很有可能中馬了。近期騰訊反病毒實驗室攔截到流氓軟體“多彩便籤”正在大量推廣一個偽裝成“阿里媽媽推廣程式”的木馬，該木馬強對抗殺軟，惡意鎖主頁，危害十分嚴重。

檔名：AlimamaAgent.exe
MD5：7c428f8759b9015409e87acfa50646c2
推廣渠道：多彩便籤
母體AlimamaAgent.exe行為

木馬母體偽裝成阿里媽媽推廣程式，其資源中放有三個檔案，一個是真正的阿里媽媽推廣程式AlimamaAgent.exe，一個是木馬檔案，另一個是配置檔案。母體執行後首先判斷系統啟動了多久，如果不超過5分鐘的話則釋放出木馬並執行，然後再釋放阿里媽媽推廣程式；如果已經超過5分鐘的話則只釋放阿里媽媽推廣程式，不釋放木馬。此方法可以繞過很多未重啟的自動化分析系統、沙盒等。同時系統剛啟動的數分鐘內通常是安全軟體防禦的薄弱時期，此時木馬往往可以乘虛而入，執行敏感操作。

木馬只在開機5分鐘內執行，用於繞過安全軟體主防和自動分析系統等

釋放真正AlimamaAgent.exe並執行，該檔案是阿里媽媽官方推廣程式，主要功能是在桌面釋放兩個快捷方式進行相關推廣，雙11是其推廣的主題

木馬sbffdm.exe行為

Sbffdm.exe是木馬的安裝程式，其功能是釋放出木馬的主功能檔案並載入，總共會釋放3個驅動檔案、1個exe檔案和1個dll檔案。同時該木馬會判斷自身檔名，如果不符合規則，則直接退出程式，可能是用於繞過自動分析軟體的分析。

釋放CmBatt2.sys、secdrv2.sys、stisvc2.sys、zystatic.exe、zyinstall.dll五個檔案,木馬會首先判斷系統型別，如果是64位系統，則釋放的驅動為64位驅動

呼叫zyinstall.dll的介面，實現載入3個驅動檔案

驅動CmBatt2.sys行為

CmpBatt2.sys主要用於鎖定瀏覽器主頁，鎖主頁的方式是通過註冊建立程序回撥，在回撥函式中比較程序名的CRC32值，如果在列表中（木馬內建了一個各種瀏覽器程序名的CRC32列表），則通過新增命令列的方式進行主頁鎖定。同時，該檔案還負責清除與主頁保護相關的其它檔案。

可能為了免殺，該木馬並未內建瀏覽器名稱

木馬的網路行為: 建立到一個指定的套接字連線;按名稱獲取主機地址;
ip.taobao.com
mmstat.ucweb.com
www.taobao.com

修改登錄檔
Hkey_users/s-1-6-20-579966832-365622319-2027556190-1000/software/AlimamaShortcuts

建立檔案 debug.log

先把機器的主機板序列號和硬碟序列號拿到了，試圖建立或者更新工作列快捷方式的時候發生了錯誤。

木馬最終實現的鎖主頁效果

木馬總是藉著各種熱點進行傳播，在各大網站和各種圈子都被雙11購物節刷屏的時候，管家提醒使用者更要保護電腦安全，注意桌面圖示、瀏覽器主頁的變化，木馬有可能借著雙11的契機在你電腦上安家落戶。如果發現主頁被鎖或者桌面莫名增加了圖示，請及時檢查防毒。

雙11過後，又是雙12 , 請大家注意了。 嚇壞寶寶了。