小心魔域私服客户端捆绑传播远控木马和挖矿木马
【文章摘要】 腾讯平安威胁情报中心发现一个名为DTCenSvc.exe的文件异常之高,腾讯平安大数据显示中招电脑跨越2万台,该文件运行后会在用户机械内安装一系列的广告弹窗程序、主页窜改程序。腾讯电脑管家内置的[软件治理]提供平安软件下载,[权限雷达]能为用户阻挡广告弹窗和恶意推装。
一、概述
腾讯平安威胁情报中心在举行例行高广风险文件排查时,发现一个名为DTCenSvc.exe的文件异常之高,腾讯平安大数据显示中招电脑跨越2万台。经剖析该文件运行后会在用户机械内安装一系列的广告弹窗程序、主页窜改程序。腾讯平安专家提醒用户制止从易受污染的软件下载站下载,高风险下载渠道极易熏染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。
二、解决方案
1.针对恶意推装
互联网上充斥种种小众软件分发渠道,这些渠道或良莠不齐,或治理混乱,打着“高速下载”的旗帜吸引用户,用户通过这些小众渠道搜索下载软件时,极易熏染病毒木马,被捆绑安装不需要的其他软件。
针对此类软件的恶意捆绑流传,腾讯电脑管家系列平安软件已支持周全检测和阻挡,小我私家用户可以通过腾讯电脑管家小我私家版(https://guanjia.qq.com/)实现平安防护,中小企业团队可使用腾讯电脑管家小团队版(https://team.qq.com/site/index.html)举行专业IT运维,解决方案如下:
(1)腾讯电脑管家可查杀DT_Downloader相关的病毒程序;
(2)软件管家可提供清洁无插件的软件安装程序;
(3)提供小我私家终端的PC平安防护、清算加速、软件治理、办公助手等服务。
腾讯平安专家建议网民尽可能通过响应软件的官方网站下载软件,或者使用腾讯电脑管家的[软件治理]功效搜索下载响应软件。腾讯电脑管家已升级查杀DT下载器木马,内置的软件治理功效提供高速下载、自动去除插件安装、自动卸载恶意软件、治理软件的自动开机加载及广告弹出等特色功效。
2.针对广告弹窗
某些下载器打着高速下载器的旗帜,会在用户电脑安装完软件后不准时弹出种种恶意广告,关不完的弹窗影响上网体验,甚至一点就会中病毒圈套,十分影响上网和办公体验。
腾讯电脑管家内置的[权限雷达]可辅助用户阻挡种种广告弹窗,还你一个“清净”的网页。只需四步,就能用电脑管家对电脑软件举行权限扫描,一键阻挡恶意弹窗。
第一步:进入腾讯电脑管家,打开左侧[工具箱]栏,点击[权限雷达]。
第二步:立刻扫描电脑软件权限,迅速领会软件行为。
第三步:查收权限讲述,选择需要屏障的软件及弹窗种别,一键阻止软件弹窗权限。
第四步:开启更多权限治理功效,制止埋下权限隐患。
三、病毒样本剖析
DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块,并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取设置文件,并拉取设置中的文件执行。现在设置中保留了两个RUL,分别为:
hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件,hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。
连续41次通过VB100认证,腾讯安全技术实力再获国际权威认可
MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块,包罗一个Mini页弹窗,一个窗口右下角弹窗。但由于两个弹窗均无泉源标识说明,部门用户也难以对其举行卸载删除,用户看到此类广告后会感应极端反感。
ObtainSysInfo.exe是一个主页修改相关的包程序,该程序运行后会首先检查环境内是否有平安软件相关历程,若是判断当前运行环境处于平安软件珍爱中。则不执行后续浏览器主页相关设置等修改逻辑。否则进一步通过从云端两次拉取加密包,解密解压缩后内存中执行DLL恶意代码。进而修改熏染病毒机械内的主页,珍藏等信息。
四、病毒溯源剖析
经由溯源剖析,我们找到了一个同样会流传病毒相关模块的某款下载器的早期版本,该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。
比对可知,本次流传的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容,且内陆病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。
该下载器同样存在恶意修改浏览器主页信息,静默推装多款应用的行为,会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。
IOCs
MD5:
aa8c5fffd2de7bd7c39f90a9392d8db0
7348a00072d3d45e6006d7945744d962
fbb1a7653d715b8f56e54917adb2450e
b6efb80f8c28a9c95fa3353d534c13d8
b1766aad514d1d84d3ed360c35d88f78
Domain:
down.hao3603.com
down.1230578.com
URL:
hxxp://down.hao3603.com/qd/MiniSetup.exe
hxxp://down.hao3603.com/qd/ObtainSysInfo.exe
hxxp://down.1230578.com/SetFunVec.7z
hxxp://down.1230578.com/UpdateProfile.7z
hxxp://down.1230578.com/DTPageSet.exe
亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,企业注意及时清除