黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

2022年03月28日 02:03:00

黑客很累吗,游戏外挂捆绑驱动木马,已挟制上万台电脑浏览器


流氓软件下载器上演“空手套白狼” 腾讯电脑管家全面清除

【文章摘要】 腾讯御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在盛行游戏外挂中流传。该木马频仍更新逃避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是举行主页挟制,挟制的网址列表从云端配置文件获取。


一、概述

腾讯御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在盛行游戏外挂中流传。该木马频仍更新逃避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是举行主页挟制,挟制的网址列表从云端配置文件获取。但由于每次开机启动都市举行自更新,不清扫后期拉取其他恶意功效的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前挟制用户浏览器导流赢利有关。

腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.comgo.gengxinsys.com注册时间为201812月;bb.niuqudong.com注册时间为201811月,从今年4月份最先活跃,累计已有上万台机械被熏染。

二、详细分析

该木马驱动文件具有数字署名:金华米粒网络技术服务有限公司,该署名被Rootkit病毒频仍使用,现在该署名已经失效。


备份多个地址自更新

木马驱动开机加载后,会联网获取最新版本实现自更新。病毒内置多个更新地址,凭据系统版本选择下载32/64位的驱动举行安装更新。

部门自更新地址如下:

hxxp://go.gengxinsys.com/updata32.rar

hxxp://go.gengxinsys.com/updata64.rar

hxxp://my.51years.com/updata32.rar

hxxp://my.51years.com/updata64.rar

hxxp://ss.wanqudong.com/updata32.rar

hxxp://ss.wanqudong.com/updata64.rar


主页挟制

注册了历程建立回调,当检测到浏览器历程启动时则举行命令行窜改。对市面上主流的浏览器都举行了挟制,包罗ie,谷歌,火狐,QQ浏览器等。

对浏览器历程举行检测匹配:



挟制主页的网址联网获取,配置文件下载地址: hxxp://ss.wanqudong.com/listh.rar,下载回来的配置文件经由了加密,解密后的网址:hxxp://www.0kl6wc.cn/,配置文件里的网址变换频仍。


解密算法:



跳转到挟制导航页,现在配置文件里挟制的导航页为游戏资讯站。



联网获取配置文件

联网获取多个配置文件,除了上文提到的主页挟制配置文件listh.rar及自更新文件updata32.rar, 另有游戏网址xinlistj.rar,游戏外挂及病毒文件MD5列表md5exe.rar,

exe特征码exeFeaturecode.rar等等。



xinlistj.rar,md5exe.rarlisth.rar都经由 加密,解密算法和上文解密挟制网址的一样。解密后的游戏外挂及病毒文件MD5列表:



自珍爱

该木马病毒通过多种方式实现自珍爱,包罗:

区块链火了Sality病毒,感染3万电脑伺机盗取比特币

注册关机回调,在关机或重启机械时重写注册表及文件,实现文件路径及服务名随机化,以加大发现查杀难度。

映像挟制,将自身文件重定向到微软正常的系统文件,查看文件信息带有微软署名。

将驱动服务启动组Groups设置为System Reserved及启动类型为Boot型,实现开机争先加载。

三、平安建议

1.游戏外挂一直都是种种顽固病毒木马流传的温床,建议游戏玩家郑重使用。

2.保持杀毒软件的实时防护处于开启状态,腾讯电脑管家、腾讯御点等终端产品都可查杀该木马。不要信赖外挂网站让你关闭或退出杀毒软件之后再运行的谎言。

IOCs

URL:

hxxp://go.gengxinsys.com/updata32.rar

hxxp://go.gengxinsys.com/updata64.rar

hxxp://my.51years.com/updata32.rar

hxxp://my.51years.com/updata64.rar

hxxp://ss.wanqudong.com/updata32.rar

hxxp://ss.wanqudong.com/updata64.rar


DNS:

go.gengxinsys.com

my.52gengxin.com

kk.yaoqudong.com

yun.521drive.com

bb.niuqudong.com

ss.wanqudong.com

my.51years.com

my.52years.com


MD5:

3222e94a7ab05c57a7cb61dba8599e13

cc15f8a996c98b7068352b456e5cd06b

0be4f2cec952c23111dcaf0207e99d75

1ee408524ee39cfe64bb38b24078ddbd

7f91ed5adddfd410e25f6dfa96ca3b7d

682ddf49e615e4f761a50683c64f4cde

f534433cca7b0d5eada187f4d5ba7ffb

cd3ac5a290f7612392cb3000fea2d742

682ddf49e615e4f761a50683c64f4cde

b5c7ed1e848641e38ddebc048019de1d

5aa08f0d9dded52cba84b86be163aae6

26b285540b825050d448f4d2733b94fe

cc955b583c829e509c976dcf69c6cb5a

4b962abc70e0634ef513d7368248d33a

f534433cca7b0d5eada187f4d5ba7ffb

双11剁手节前小心浏览器被劫持,腾讯电脑管家可以查杀


标签:黑客接单 

作者:访客 , 分类:网站入侵 , 浏览:1065 , 评论:5

  • 评论列表:
  •  美咩未几
     发布于 2022-05-28 11:21:07  回复该评论
  • 化,以加大发现查杀难度。 映像挟制,将自身文件重定向到微软正常的系统文件,查看文件信息带有微软署名。 将驱动服务启动组Groups设置为System Reserved及启动类型为Boot型,实现开机争先加载。 三、平
  •  冬马涴歌
     发布于 2022-05-28 11:39:56  回复该评论
  • de1d 5aa08f0d9dded52cba84b86be163aae6 26b285540b825050d448f4d2733b94fe cc955b583
  •  萌懂长野
     发布于 2022-05-28 06:08:45  回复该评论
  • 的主页挟制配置文件listh.rar及自更新文件updata32.rar, 另有游戏网址xinlistj.rar,游戏外挂及病毒文件MD5列表md5exe.rar, exe特征码exeFeaturecode.rar等等。 xinlistj.rar
  •  慵吋春慵
     发布于 2022-05-28 03:44:20  回复该评论
  • 5exe.rar, exe特征码exeFeaturecode.rar等等。 xinlistj.rar,md5exe.rar,listh.rar都经由 加密,解密算法和上文解密挟制网址的一样。解密后的游戏外挂及病毒文件MD5列表:
  •  末屿倾酏
     发布于 2022-05-28 09:23:38  回复该评论
  • 流氓软件下载器上演“空手套白狼” 腾讯电脑管家全面清除【文章摘要】 腾讯御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在盛行游戏外挂中流传。该木马频仍更新逃避杀毒软件查杀,木马内置

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.