“劲爆新闻、漂亮小姐姐”原是远控木马，中毒电脑沦为“老虎”矿工

【文章摘要】 腾讯平安御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂（游戏辅助工具）举行流传，该木马团伙已累计熏染跨越10万电脑。

一、概述

近期，腾讯平安御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂（游戏辅助工具）举行流传，这些外挂包罗：谨哥辅助、极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等。这些木马会挟制浏览器主页、举行广告推广。这些外挂都市诱骗玩家称经由权威杀软检测0报毒，之后自动更新并凭据设置文件的设置下载广告木马执行。

凭据腾讯安图数据显示，木马服务器地址daohang1.oss-cn-beijing.aliyuncs.com在岑岭时期，天天有近一万的接见量，日均4000的接见量。仅从瑾哥辅助一个辅助工具的站长统计数据看，平均天天接见机械数都跨越1000。而类似瑾哥辅助用来流传广告木马的外挂，共有20余款，该木马团伙已累计熏染跨越10万电脑。

流传态势如下：

谨哥辅助工具站长统计数据：

二、详细分析

该木马团伙包装的多个游戏外挂（辅助工具）运行流程基本一致，运行后通过网络获取设置文件，凭据设置文件下载多个木马执行，包罗主页挟制木马、广告推广木马等等，此外还会升级自身，其事情流程如下：

获取设置文件&下载木马

联网获取设置文件，设置文件的内容主要是下一步要下载文件的地址、文件名、安装目录等信息。现在瑾哥辅助设置文件中下载文件包罗LREDH.exe(木马文件，主要作用是举行主页挟制)， TheWorld.exe(浏览器历程)，安装路径为当前目录的 Tim文件夹

瑾哥辅助&极品辅助设置文件下载地址：

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd

hxxp://dh.3ayl.cn/jp/jp.jd

瑾哥辅助设置文件内容：

极品辅助设置文件内容包罗自更新地址、主页挟制木马、广告推广木马等设置:

凭据设置文件中的下载地址下载主页挟制木马，安装在外挂程序当前目录（Tim文件夹下），主页挟制木马下载地址：

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe

主页挟制

主页挟制的套路和常见的主页挟制有点不一样， 常见的主页挟制一样平常都是通过注册历程建立回调，或者挂钩历程建立相关函数，在浏览器历程启动时举行命令行窜改。而该木马的挟制历程如下：遍历桌面，快速启动栏等文件目录下的浏览器快捷方式，将浏览器快捷方式目的窜改指向主页挟制木马LREDH.exe，LREDH.exe再启动浏览器历程凭据设置文件里的导航网址举行窜改。

腾讯安全：打开文件就中招 “老虎”挖矿木马已感染超5000台电脑

遍历快捷方式后缀lnk,如果是浏览器历程快捷方式则举行窜改:

窜改浏览器快捷方式

挟制导航网址设置：

流传渠道

腾讯平安御见威胁情报中心数据显示，该木马主要通过热门游戏辅助网站举行流传，除了谨哥系列辅助，还包罗：极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等跨越20款。该木马团伙凭据差别的辅助工具匹配差别的挟制导航id（该ID主要用来做流量统计计费）。如瑾哥辅助对应的id为jinge.html,jinge-xw 等。

谨哥系列辅助网站：

三、平安建议

1.游戏外挂、辅助工具一直都是种种病毒木马流传的温床，个人用户郑重使用。

2.使用杀毒软件阻挡病毒木马挟制浏览器，不要轻信外挂网站要求关闭杀毒软件再运行的谎言。腾讯电脑管家、腾讯御点终端平安治理系统均可阻挡查杀该病毒。

IOC:

MD5:

d85105726e0321f00fbcc4917c32d97c

fe852d90aa84091a1d8d9eabe953c14a

f32ca081e51f85a1f8fbeaa13d4dd059

fbdd60adddb2dfab641e7335e4ecc0cb

fd3dbcdd366d8fa1505c90b65a6a2f29

Url:

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd

hxxp://dh.3ayl.cn/jp/jp.jd

hxxp://dh.3ayl.cn/jp/shellEx.fne

DNS:

daohang1.oss-cn-beijing.aliyuncs.com

dh.3ayl.cn

bbyz.oss-cn-shanghai.aliyuncs.com

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe

Win7今日停更，腾讯安全持续护航系统安全