黑客业务

       

WinRAR（CVE-2018-20250）再升级 减少对重启系统的依赖

腾讯平安御用威胁情报中心发现了一个QQ_Protect.sys假装文件名QQ珍爱模块)pipoc锁主页的木马非常活跃。木马的传播渠道主要是盗版带毒ghost系统，这些毒药ghost除了在线下载外，系统还反馈了计算机城的许多用户XX网店安装的系统都锁定了主页。监控数据解释说，已经有上万台电脑被招募。            

   一、概述    

   

   克日腾讯平安御见威胁情报中心发现了一个QQ_Protect.sys假装文件名QQ主页威胁木马非常活跃，木马的传播渠道主要是盗版带毒ghost系统，这些毒药ghost除了在线下载外，系统还反馈了计算机城的许多用户XX网店安装的系统都锁定了主页。监控数据解释说，已经有上万台电脑被招募。    

   

       

   

   这个系列的木马在2018年初第一次出现，经过多次变种，最近又通过了ghost系统流传，其安装路径都在program files\xwinpipoc根据这一特点，腾讯平安专家将其命名为目录pipoc锁主页木马，中毒电脑的多款主流浏览器主页会被锁定为某网址导航站。    

   

       

   

   这些带毒ghost系统主要通过一些盗版软件下载站传播，包括系统之家win7 旗舰版、win7家等网站。腾讯平安专家建议，用户只需使用微软官方光盘镜像安装系统，停止下载毒品Ghost发现主页锁定的用户可以使用腾讯电脑管家查杀病毒。    

   

       

   

   
   

   

       

   

   pipoc锁主页木马呈上升趋势    

   

   
   

   

   二、病毒分析    

   

   QQ_Protect.sys木马驱动服务系列名称QQ_ProtectSer大部分签名信息都是henan pushitong intelligent technology，PDB该系列病毒也直接显示为锁主页：xxx\LockHomePage(ApcInject)\x64\Win7Release\QQ_Protect_X64_.pdb,    

   

   
   

       
   

   pipoc锁主页木马注册驱动服务    

   

       

   

   病毒驱动程序有数字签名

   

       

   

   
   

   

   木马运行加载后，设置回调和模块加载回调,如果是浏览器过程，则通过篡改过程启动参数来强制主页。    

               

   建立过程回调

   

       

   

           

               

   监控浏览器过程

   

       

   

       

   

   威胁浏览器有IE、chrome、360se 等等，详细的威胁列表如下:    

       
   

   
   

   

   另外，病毒在模块中加载(LoadImage)防止回调中的杀软和浏览器珍爱模块的加载运行。包括通配急救箱历程文件 *SUPERKILLER.EXE,浏览器珍爱模块QBSAFE.DLL等。

   

       

   

   匹敌杀软    

   

   
   

   

   通过网络拉取主页威胁的网站设置信息,设置文件地址:hxxp://pc.1668pc.com/urlconfigx.txt，不同的浏览器会被迫进入不同的导航主页。    

   

       

   

   设置文件    

   

       

   

   以下图为例， 将以参数为例被胁制2345.3839069.com启动浏览器过程的方式，最后跳转到推广号38264-0001的2345网址导航页    

               

   主页挟制    

   

       

   

   三、关联分析    

   

   对域名pc.1668pc.com举行相关分析，其注册邮箱为952136745@qq.com，腾讯安图显示，有多个恶意域名使用该邮箱注册，域名下url大部分都是主页绑架的设置信息，比如hxxp://pc5210.com/ys.rar ,解压后是一个HLMicLock.ini设置文件，设置文件中也有主页绑定的相关信息。确认邮箱的用户已经是锁定主页病毒的惯犯。    

   

   
   

   

   关联域名:    

刺客信条压缩包文件要小心！腾讯电脑管家提醒或蠕虫病毒

   

       

   

   主页威胁设置信息

       
   

   
   

       

   

   4.安全建议:    

   

       

   

   1.盗版ghost该系统是病毒传播的主要渠道，用户只需安装官方正版系统；    

   

   2.中毒熏染的用户可以使用计算机管家进行检查和屏蔽，并始终打开杀毒软件的实时保护。    

       
   

   
   

   

       

   

   IOC:    

   

   Md5:    

   

       

   

   3d4136b69a602e708b99e81c47367ebb    

   

   5c1fb8a76b89539937e8a68796a05c78    

   

   56d0434b46ba6516da338f15416f2025    

   

   211440b7a07a49b990fe7065aa6a3dfd    

   

   1cb964b0baca5ffb9c4cdaff0e01654c    

   

   6da02109c93817c70bc8b90a98536680    

   

   20c731d73d20321c56341d63a068332d    

   

   56e0981e483891a0f192e01e1df93e98    

   

   0b0783737edd594de74c7db330ad7728    

   

   67ae545c9a15173615ca55fd4fbb3d54    

   

   a25866fcaa7a7c3397145650236f8264    

   

   fa18f489588076bbb3c65a81e9ba4af8    

   

   7d8110599dec7ec23b7d8f10e6a12229    

   

   0182e55ce8ffb518fde09fe5c06b4b3f    

   

   ecc0b2d03aae86edf1a339068f490a16    

   

   1f83ad1e26162bb210c5e6d5859ab200    

   

   afde133fc15de6c1afa85d1996e41a88    

   

   37d7921cabf4c8c0f8d75edd5f5a8edc    

   

   0b0783737edd594de74c7db330ad7728    

   

   3a313228484b498ae3455a495a7968b3    

   

   e6d55a0721425433c7421abaff3ebf87    

   

   ecc0b2d03aae86edf1a339068f490a16    

   

   07bf93170e9801b15437b80f6d7284e0    

   

   1f83ad1e26162bb210c5e6d5859ab200    

   

   1aaf812addaf8939065b37dc0f31fdba    

   

   6be03bb570082ca830424c75cb218cb3    

   

   1cb964b0baca5ffb9c4cdaff0e01654c    

   

       

   

   DNS:    

   

   pc5210.com    

   

   pc.1668pc.com

腾讯安全发现了年度最大的病毒团伙