首页 > 软件首页 > 资讯详情

疯花木马劫持浏览器主页,360安全卫士支持强力查杀

软件资讯 完美下载小客服 2021-03-31
文章分享
火狐浏览器
火狐浏览器 浏览器
软件首页

360安全大脑监控到一类通过下载器进行推广,以劫持浏览器主页,推广软件,流氓快捷方式,广告弹窗等方式进行牟利的病毒木马,我们将此类木马命名为“疯花”木马。

该木马是典型的云控木马,所有模块均以云端控制,内存加载的方式执行,通过Process Hollowing的注入方式绕过安全软件检测。通过GetSystemMetrics()实现了一个应用层的关机回调,并在关机回调中回写木马文件和注册表,绕过部分杀软的主动防御功能。疯花木马整体病毒流程如下图:

当携带木马的下载器被运行后,会将疯花木马的主控模块注入到svchost.exe进程中执行,主要包含两个病毒线程,一个通过云控加载劫持模块,另一个注册关机回调,回写病毒文件和注册表项:

通过云控下载执行相应的恶意组件,云控的配置跟下载的组件均经过加密存储,下图是下载云控配置并进行解析的代码片段:

解密后的云控配置如下:

通过GetSystemMetrics实现应用层关机回调,并在关机回调时回写病毒文件和注册表:

通过篡改SENS服务ServiceDll路径实现病毒自启动:

此外还会修改
PendingFileRenameOperations:

自启动模块会检查进程名跟命令行是否为sens服务,若不是则不会执行病毒逻辑,反之则会通过进程hollowing的方式启动主控模块:

主控以同样的方式启动盈利模块,盈利模块包含篡改浏览器主页,推广软件,流氓快捷方式等进行牟利,配置文件中包含一些对于环境的判断条件,如fbarea字段存在,会检测北京,上海,广州,深圳等一线城市,并绕过。劫持浏览器主页的配置如下:

劫持的浏览器列表如下:

劫持后的主页最终跳转到如下页面:

快捷方式和推广软件的部分配置文件如下:

安全建议:

1,减少下载器,盗版软件的使用,尽量去软件官网下载使用。

2,定时对系统进行木马查杀,保证系统安全。

360安全卫士已支持查杀该木马,广大用户可前往weishi.360.cn下载使用:

MD5:

226037df29daa7a40b9fb3a3ee56c3c4

URL:

http[:]//plg.xw-wd.com/PopNews.dat

http[:]//ver.wengmingjunylawyerfc.com/Version.ini

http[:]//core.sda-bocconi.com:80/Hsvt.dat

http[:]//cfg.wtlswd.com/Config.ini

http[:]//core.sda-bocconi.com:80/Hds.dat

延伸阅读

相关软件