20多款游戏外挂传播主页劫持木马,影响超10万台电脑
【文章摘要】 腾讯平安御见威胁情报中心检测到,近期有大量恶意窜改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂流传,借助“简压”重大的用户基数,很短时间内已熏染海内超5万台电脑。为制止被平安软件监测系统发现,该违规插件会刻意避开北上广等11个都会不发作,本次恶意行为的目的是在双11电商节之前通过挟制用户浏览器牟利。一、概述
腾讯平安御见威胁情报中心检测到,近期有大量恶意窜改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂流传,借助“简压”重大的用户基数,很短时间内已熏染海内超5万台电脑。为制止被平安软件监测系统发现,该违规插件会刻意避开北上广等11个都会不发作,本次恶意行为的目的是在双11电商节之前通过挟制用户浏览器牟利。腾讯电脑管家可以查杀该恶意插件,受害网民也可以通过腾讯电脑管家的软件治理,卸载不需要的软件。
可使用腾讯电脑管家查杀恶意插件
详细剖析发现,该系列恶意行为在举行恶意挟制操作时十分小心,会判断用户系统环境,规避平安软件、剖析工具是否在运行,是否在软件调试环境等等。同时,恶意窜改挟制用户浏览器的行为还会避开北上广、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥等都会。
监测数据显示,该恶意插件近期熏染呈显著上升
监测数据显示受害电脑漫衍在全国各地,山东、河北、广东受害严重
二、剖析
简压安装完毕后,其目录中的JZipMenu*.dll功效模块将被注入到系统Explorer历程中
恶意挟制插件注入资源治理器历程
JZipMenu*.dll模块则读取自身目录下的设置文件,接见云端gif设置文件解码剖析后举行下载执行推装,广告弹窗等行为。
软件使用当前设置地址为i.exrnybuf.cn
御见威胁情报中心检测到恶意插件使用的大量设置信息路径,对其获取到的设置GIF文件举行Base64解码,Zlib解压缩后获得明文设置信息
查看设置信息,其中除去正常的Tips弹窗信息外,还包含了一个名为appupdui的设置字段,该字段中包含了下载器推广程序appupdui.exe,该文件作为软件升级模块将推广Exe字段内的若干款软件,其中有10余款软件均为静默安装包。有两个推广项运行后会默认窜改用户浏览器主页,安装浏览器购物推荐插件,程序推广时还会检测都会信息、判断平安软件是否运行、是否处于软件调试环境等等。
环境判断历程列表(主要规避平安软件剖析工具历程信息,平安软件历程信息,调试环境历程信息等):
ethereal、fiddler、httpanalyzer、httpwatch、ipanalyse、minisniffer、smsniff、sniffer、wireshark、postman、vmware-hostd、vmnetdhcp、vmnat、vmware-authd、
hipstray、dbgview、depends、idag、mstsc、myccl、ollydbg、windbg、pchunter、ollyice、totalcmd、xuetr、zhudongfangyu、hipstray、360sd、360RealPro、360rp、360tray、360Safe、safeboxTray、360safebox、360leakfixer、procexp、ksafetray、kxescore。
地域判断历程列表:
北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥
File656=lock_all.exe文件被拉取执行后,将接见云端设置hxxp://api2.ttp1.cn/api/sc/all/sc.json,根据云设置窜改浏览器主页和浏览器珍藏夹。
下图为其设置信息,当监测到以下历程相关关键字时,不执行浏览器修改恶意行为:
“劲爆新闻、漂亮小姐姐”原是远控木马,中毒电脑沦为“老虎”矿工
"zhudongfangyu、hipstray、360sd、360RealPro、360rp、360tray、360Safe、safeboxTray、360safebox、360leakfixer、ksafetray、kxescore、qqpcrtp"。
执行浏览器窜改操作时,会将主页设置为以下网址中的一个,以下4个地址均会剖析到差别的推广导航站:
11.tth8.cn、61.tth8.cn、35.tth8.cn、ss.tth8.cn
如下图为浏览器主页被恶意修改到35.tth8.cn,随后被剖析到带尾号33632(推广计费ID)的推广主页,其珍藏地址栏中也同时被添加带其推广计费ID的淘宝,京东,携程等网站快捷方式。若是用户通过这里接见电商网站,每次购物均会让恶意插件控制者获得佣金。
File621=crx_lqg_jy.exe安装后将会安装一个名为购物券的浏览器插件,该插件在接见购物站点时,对用户举行优惠券推荐,商品推荐,同样通过电商买卖获得佣金分成,会指导用户接见到佣金高的店肆,从而滋扰了用户购物自由选择权。
三、解决方案
下周一就是双11电商购物节,预计这个周末会成为恶意浏览器插件最活跃的周末,腾讯平安专家建议用户启用平安软件的实时防护功效珍爱系统,制止安装恶意软件导致浏览器被窜改。
建议网友通过腾讯电脑管家的软件治理功效搜索寻找需要的软件,电脑管家应用商铺的审核机制会只管制止用户遭遇诱骗下载,同时可以阻挡违规软件的捆绑安装、恶意弹窗等影响使用体验的行为。
IOCs
URL:
hxxp://i.exrnybuf.cn/zip/read.php/v_2/t_app/n_jyzip*.gif
hxxp://api2.ttp1.cn/api/sc/all/sc.json
主页挟制剖析域名:
11.tth8.cn
61.tth8.cn
35.tth8.cn
ss.tth8.cn
MD5:
21bdcef9bf30a28a04900a8faadc5225
939d1bffea2febfc93b72fe201a8df44
cfb9af58958ae74ee90f4c95cfbde121
a75bd0c0c261235982572b5808ff12d1
0e21d6f68f2b7f1adaaf19ab0348c1a4
5a3df3cf4b724fb07caa2944718aef0f
5af657c7af4de6031c49fd6a645e451a
7bb73ab8f45225d53062893af3c6bea7
7eb8d4aee6618999a0f488a5f38ca60f
823e449f9899b907c446308d471f3ae3
a2a1b2bd55c79274779b180918737c6f
a5f45f434aca3ef38cb88fa11e793ca8
c0f476c53f0a0449ba702e99bf47c772
d073b1134ff858dcad6f430ddc38bc90
腾讯安全:打开文件就中招 “老虎”挖矿木马已感染超5000台电脑