近日,360安全大脑监测到有游戏下载网站打着《怪物猎人:世界》等多款知名游戏旗号进行传播劫持木马。经分析,该木马具备劫持浏览器主页及默认搜索页、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等恶意行为。经过溯源发现:木马传播者对《孤岛惊魂5》、《怪物猎人:世界》、《极品飞车20》、《鬼泣5》、《边缘世界》等知名游戏进行二次打包并加入木马程序,然后通过游虎游戏网(hxxp://dj.dianjinghu.com)进行传播。近期在游虎游戏网站中下载过单机游戏的用户请尽快使用杀软进行查杀。
过程分析:
主要执行流程如下:
游戏安装完用户点击桌面游戏快捷方式开始游戏后后首先会请求hxxp://down.qm188[.]com/yhlock.7z得到了一个采用AES加密的压缩包文件yhlock.7z, 该压缩包经过AES解密后,解压释放出demo.dll并加载其导出函数plugin_lock():相关代码如下图所示:
调试解密yhlock.7z成PE文件如下图所示:
该文件内存中加载后会继续从hxxp://down.qm188[.]com/check.7z下载一个同样使用AES加密的压缩包,解密解压缩后包含一个Lock.dll并加载执行(PDB信息:d:\浏览器相关\Lock\release\Lock.pdb):调试解密check.7z成PE文件如下图所示:
该DLL文件封装了针对市面上超过15款主流浏览器的劫持修改函数:
而demo.dll则主要执行:
1、篡改浏览器收藏夹,静默替换收藏项链接;
2、篡改浏览器Cookie
3、安装浏览器扩展(具备劫持功能);
4、获取浏览器历史浏览记录
5、锁定浏览器主页有:
https://www.hao123.com/?tn=98625814_hao_pg
http://daohang.qq.com.cn0d.qq.1230578.com/%d.html
http://123.sogou.com.cnsg.123.1234034.com/%d.html
http://www.2345.com.cn.2345.hao3603.com/%d.html
判断杀软,修改IE浏览器的主页;相关代码如下图所示:
篡改浏览器的cookie,会修改host_key为.hao123.com的cookie部分代码如下图所示:
另外锁定的导航链接并不是唯一的,会通过生成随机数来拼接出随机的导航链接地址,并通过随机数控制一定机率来选择锁定为host和不同二级域名的链接,猜测是为了躲避对抗某些杀软和浏览器对被篡改为同一链接的监控;相关代码如下图所示:
该劫持木马受影响用户区域分布图,似乎和一般其它木马分布不太一致,山东、福建、四川的网友受影响最多:
360安全大脑建议:
1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;
2、在下载游戏时,尽量使用正规下载渠道;
3、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行。
IOCs
SHA256:
58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d
abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f
9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9
URL
hxxp://down.qm188[.]com/check.7z
hxxp://down.qm188[.]com/yhlock.7z
hxxps://www.2345[.]com/?32772-0009
hxxps://www.hao123[.]com/?tn=98625814_hao_pg
hxxp://daohang.qq.com.cn0d.qq.1230578[.]com/%d.html
hxxp://123.sogou.com.cnsg.123.1234034[.]com/%d.html
hxxp://www.2345.com.cn.2345.hao3603[.]com/%d.html
hxxp://hao.360.cn.com.360.1230578[.]com/%d.html
hxxp://hao.360.cn.com.360.hao3603[.]com/%d.html
hxxps://bz.dashi88[.]com/?scj
hxxp://yx.hao3603[.]com
hxxp://bd.hao3603[.]com
hxxp://tm.hao3603[.]com
发表评论
您还未登录,请先登录。
登录