一、 概述
近日，火绒安全团队发现，用户在知名下载站”系统之家”下载安装”小马激活”及”OFFICE2016″两款激活工具时，会被植入病毒”Justler”，该病毒会劫持用户浏览器首页。病毒”Justler”作者极为谨慎，会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区的IP。除这几个地区以外的用户，下载到的软件均可能带毒。据”火绒威胁情报系统”监测和评估，截至目前，该病毒感染量已近60万。
 

病毒”Justler”通过知名下载站”系统之家”（xitongzhijia.net）传播。当用户试图下载”小马激活”及”OFFICE2016″两款激活工具时，”系统之家”会识别访问IP，当用户IP地址不属于北京、厦门、深圳、泉州四个地区时，则会跳转到被植入病毒代码的软件下载链接。
另外根据跳转链接域名，我们进一步发现了一个站点名同为”系统之家”（win.100ea.com）的网站。而该网站中提供的系统盘也同样携带病毒”Justler”。
一旦运行”小马激活工具”、”OFFICE 2016激活工具”安装包，病毒”Justler”也随之被激活。之后，该病毒将篡改被感染电脑的浏览器首页，劫持流量。
火绒安全团队发现，利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增多趋势。由于激活工具通常是装机后首先安装的软件，因此此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。
“火绒安全软件”最新版可拦截并查杀病毒”Justler”。对于已经感染该病毒的非火绒用户，可以下载使用”火绒专杀工具”彻底查杀该病毒。
二、 样本分析
本次火绒所截获的病毒样本将自己伪装成了小马激活工具，在运行原版小马激活工具的同时，还会释放加载恶意驱动进行流量劫持。样本来源为名叫 “系统之家”的软件站（www.xitongzhijia.net），该站点在百度搜索”系统之家”后的搜索结果排名中居于首位，且被标注有”官网”标志。百度搜索”系统之家”后的搜索结果，如下图所示：
 

百度搜索结果
该站点主页页面，如下图所示：
 

站点页面
病毒将自己伪装成小马激活工具，病毒在运行首先会释放运行原始的小马激活工具，之后会释放加载病毒驱动进行流量劫持。病毒的下载页面（hxxp://www.xitongzhijia.net/soft/28841.html）会根据访问者IP的不同而变化，例如当访问用户的IP对应区域为北京时，下载地址链接，如下图红框所示：
 

病毒下载页面（北京IP访问）
但在我们使用HTTP代理访问后，下载地址链接出现了变化，变为了百度云盘下载。通过一段时间的测试我们发现，在使用HTTP代理的情况下，下载页面并不是每次都会显示百度云盘下载链接，病毒作者可能利用这种方式对抗安全厂商的样本收集。下载页面，如下图所示：
 

病毒下载页面（HTTP代理访问）
点击上图中的”百度云盘下载”链接后，页面会跳转至hxxp://go.100ea.com/oem9/down.html。该页面中包含的JavaScrIPt脚本可以根据用户的当前IP地址所属地域，跳转至不同的百度云盘地址。如果通过IP地域查询，获取到当前所属城市为北京、厦门、深圳或泉州，则会跳转到无毒版本小马激活工具的百度云盘下载页面；如果当前所属地为其他城市，则会跳转到带毒小马激活工具的下载地址。脚本内容，如下图所示：
 

跳转脚本内容
带毒小马激活样本由三层释放器构成，病毒整体结构如下图所示：
 

病毒整体结构
三层释放器中都带有检测安全软件的代码逻辑，如果检测到安全软件则会弹出提示”为了顺利激活系统，请先退出杀毒软件”，最后退出执行。提示弹窗，如下图所示：
 

提示弹窗
相关代码，如下图所示：