游戏外挂捆绑驱动木马,已劫持上万台电脑浏览器
【文章摘要】 腾讯平安御见威胁情报中心检测到大量流氓软件下载器天天熏染近万台电脑,且有继续上升的趋势。软件流氓推装、恶意弹广告等行为早已是网民众怒,部门流氓软件推广者,精心设计了诱骗安装界面,在推荐软件的星标评级中隐藏难以发现的默认勾选符号;通过搜索搜索引擎广告冒充常用工具软件推广下载器。克日,腾讯御见威胁情报中心检测到大量流氓软件下载器天天熏染近万台电脑,且有继续上升的趋势。软件流氓推装、恶意弹广告等行为早已是网民众怒,部门流氓软件推广者,精心设计了诱骗安装界面,在推荐软件的星标评级中隐藏难以发现的默认勾选符号;通过搜索搜索引擎广告冒充常用工具软件推广下载器。
这些推广手法成本极低,可谓“空手套白狼”:极低成本开发(窜改捆绑正规软件)、极低成本的诱骗页面,只需购置廉价的搜索广告。
隐藏在搜索引擎广告中的流氓软件下载器
这类下载器工具在大部门场景下会给用户带来大量不需要的软件安装,同时会窜改浏览器主页,通过添加、挟制电商网站计费ID来获得收入,部门下载器还会借机流传病毒木马。我们提醒宽大用户,只管从自己所需软件的官方网站下载,或通过腾讯电脑管家的软件治理直接搜索下载,制止掉进软件下载器的捆绑陷阱。
诱导安装新剧本
下图为传统下载器的推广方式,在推广页面有较清晰的勾选按钮(大多默认勾选),至少给用户可选的推广安装项目。在该场景中,用户手动去除勾选应当可只安装自己需要的软件。
图2 传统的软件推广安装界面
流氓下载器使用的全新推装方式,则通过虚伪热门软件推荐+星级评价做幌子,误导用户以为星星代表该热门软件的当前热度,而忽略掉第5颗星为默认的勾选项,点击“立刻安装”右侧推荐的多个不需要的软件便会所有安装到用户电脑里。
图3 流氓下载器全新的流氓推广方式
该场景中右侧第五个星标中隐藏了难以发现的勾选项,对其局部放大,发现有个可选择的对勾。
图4 放大看星级推荐后的选中按钮
这个冒充Flash Player的软件,正是用户通过搜索“Flash Player”点击到的广告推荐网址,域名为lkmzv.cn,腾讯平安御见威胁情报中心已监测到其多次借助搜索引擎广告等方式举行流氓推广(见之前的讲述:https://mp.weixin.qq.com/s/tzYPGN4IuWEYFNc402B92g),近期的监测数据解释:该推广域名再次活跃。
图5 冒充Flash Player官方网站的下载页
空手套白狼的高效推广
传统软件下载站通过推广软件来赢利,会在提供软件的发布页面提供多个下载入口。例如下图中包罗本地下载、高速下载链接。当用户选择高速下载时,将会下载该软件的下载器,下载器会运行后会下载安装用户需要的软件,同时通过一些可取消的推广安装条目举行流量变现,实现下载站的盈利。此类方式需要在响应下载站投入成本做好网站运营:好比有关软件的内容、版本维护、购置服务器带宽等等。
图8 传统下载站的下载页面
空手套白狼的新推广方式加倍高效省钱,流氓下载器直接购置搜索引擎广告,将部门着名软件(Flash Player、photoshop、Wifi钥匙等等.....)关键词搜索效果做地区性买断。当用户搜索这些工具软件名称时,会被导流到高仿冒充官网下载页面,诱骗性极高。此类推广成本极低,无需软件开发维护成本,只需购置搜索引擎的关键词广告服务,维护多个推广软件站点的单一模版页面即可。
图9 另一个冒充PhotoShop的下载页
匹敌平安软件
平安软件针对流氓下载器,会接纳多维度的阻挡,例如使用url阻挡,文件阻挡,推装阻挡等手段。而流氓下载器为逃避平安软件阻挡,也会接纳病毒式的匹敌手段,例如下载器自己无文件版本信息,无厂商信息,无署名信息,会频仍更新其推广站点,频仍替换其下载器MD5做平安规则规避,匹敌成本极低。
图10 流氓软件下载器的文件属性
当流氓推装器运行竣事后,会在用户电脑释放名为xserver_download001.exe的恶意程序,该程序会判断是否在虚拟机环境,如果是真实用户环境就将自身添加为系统服务,以便日后做进一步的推装软件,弹窗广告,挟制网页等操作。
图6 检测到不在虚拟机环境,就添加为系统服务
图7 检测到虚拟机环境时,弹出错误提醒
解决方案
针对流氓下载器的恶劣表现,腾讯平安通过腾讯电脑管家、腾讯御点等终端产品对恶意下载器举行周全阻挡,防止用户受害。具体措施如下:
1.凭据云端规则判断判黑后,当用户下载、运行流氓下载器时,举行阻挡。
图11 下载珍爱的阻挡
图12 病毒查杀消灭恶意下载器
2.凭据违规软件尺度,对违规下载器分类鉴别后,上线对应规则通过实时防护举行阻挡
图13 管家实时防护阻挡下载器安装软件
3.对于使用恶意渠道被恶意推装的程序,经云规则判断后,提醒用户在安装可能不需要的软件
图14 阻挡不需要的软件安装
流氓软件下载器上演“空手套白狼” 腾讯电脑管家全面清除
4.通过浏览器阻挡恶意下载器的下载
图15 阻挡恶意下载器的下载
5.推荐用户通过腾讯电脑管家的软件治理功效安装软件,制止安装不需要的软件。
图16 通过软件治理安装需要的软件
IOCs
Domain:
www.ldhdg.top
www.jljckj1.cn
www.lkmzv.cn
URL:
i.ttd7.cn/getsoft
xzqlog.ttz3.cn/api/xzqdata
download.ttz3.cn/svr/xserver_download001.exe
MD5:
ae5f9348886d26d598a1eebceeea961b
f7a899acf67bf4af6722bd644dab8d53
e5bbc233346f217f46bd4af8ca9ccb6a
e06607e6dfdd3b61fed079644146a89c
eda38e9c02c8db5c57d28145f0c8dc86
9d7ada140307271a83a757373593e85e
d9348511dd3ed9d220f6e44924718ef9
f6c2129caffa431988e9ac634d7582b6
a26b8265c7b27ff379dc4b23eac1b59c
a71b69f32e9d33ad109b772f95db7a8a
c6e0fcf45f38bb660c635c562bdd2b81
9e52682c3d3c914d88295c4624f49b68
bc45bfd7b1c26a711c51f33cf48c53b0
eacfa613fb4c1e6b6180b5ee5453e529
e630ee29e783781cf2d20b445012cd88
a9c77e18fdc47665862ebd30ca63ec1d
bb1fd9152063418c9adf7fb1bd93f85a
e90c4da631cb8871276222aea5399afd
ffbfe5a45889e263c387d55975d51368
b1378c7ed010f2e130b2fc4302b66204
ab4b69ebd902b67bdda5636ed7780ece
eb66e314bc2ecfbbd3771ff6105e1236
fc4f80cbf48e126c125b1e524b775e1e
e34e62d2580f558f27d0bf8af851ee93
c2e9e8044d25373d43f1ac79f38cb5b3
be2feaf71487f683ee5a55075cc2c24f
a7781616a2bc50856d49091860db50a8
c7d9b0ee338243dfcf6564fa87a3a5b6
d522d84d4cf83798508dfd1812bf9a73
5e31576f7acb21e38c0eda83b0484b1f
b98154b7f9ebce8a8542dfa55e564dff
a4d557ac755cd4eeaf0843a5eb3545ab
33f3dea54e67441a343e89d23f79c7e9
1eb54315efc36b69e97fa0c594f7fce6
2f1488ef79a614fd97f634d8df572291
区块链火了Sality病毒,感染3万电脑伺机盗取比特币