首页
活动
社区
学院
安全导航

木马伪装“房子视频” 网上查租房谨防中招

阅读量178906

|

发布时间 : 2016-06-23 15:13:19

https://p1.ssl.qhimg.com/t01231a77df424f8037.png

近期有网友反馈,在某房屋租售的网站上浏览租房信息的时候,根据租房简介中的下载链接,下载了一个名为“房子视频”的文件点开后,浏览器主页被恶意篡改。360QVM团队第一时间对该样本进行分析,发现这款名为“房子视频”的软件是一个流氓推广程序,除了劫持浏览器主页以外,还会在受害者电脑上静默安装多款流氓推广软件,严重影响电脑的正常使用。

https://p1.ssl.qhimg.com/t018d30b903d4025cf1.png

所谓的“房子视频”在解压缩后,文件夹中存放着一个记事本程序和一个名为“房子视频.mp4”文件,而实质上这个“房子视频.mp4”文件并非视频文件,它是一个通过超长文件名来伪装成视频文件的恶意程序。当用户在下载后,如果没有仔细查看该文件就点击的话,就触发后续的流氓推广行为。

https://p2.ssl.qhimg.com/t01c234a22c933807b9.png

传播途径:

https://p3.ssl.qhimg.com/t01706664f4bc49b6c5.jpg

该样本传播途径主要是通过在一些分类信息网站上发布租房信息,以低廉的价格吸引一些急于租房在短期内无法支付高额租金的租户。一部分租户可能会对这种租金低廉的合租房存在质疑,不法分子利用租户这种心理在房源描述中提供了房子视频的下载链接。为了进一步了解房屋情况,大多数租户都会将房源描述中的房子视频下载下来打开,从而中了不法分子设下的陷阱。

https://p0.ssl.qhimg.com/t0176969d8ecd1810d6.png

样本分析:

当程序执行后会在C:Documents and SettingsAdministratorLocal SettingsTemp_ir_sf7_temp_0释放加壳文件irsetup.exe,接着通过带参数"__IRAOFF:520716 "__IRAFN:C:Documents and SettingsAdministrator桌面房子视频.mp4   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .   .exe""启动irsetup.exe。

https://p3.ssl.qhimg.com/t01fdcab178e2539a92.png

    而irsetup.exe通过弹窗提示用户视频文件无法播放,而无法播放的原因是视频文件编码错误。这样一来租户就以为自己下载的房子视频由于编码问题无法播放而关闭窗口,当窗口关闭后,irsetup.exe则会在C:Program Files目录下释放install.exe和360update.bat这两个文件,并且启动install.exe。

https://p3.ssl.qhimg.com/t01ebe6e2ec1b575d71.png

    C:Program Files目录下的install.exe程序,签名是”SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.”,并且加了UPX的压缩壳。

https://p0.ssl.qhimg.com/t01c383f4392294894b.png

https://p1.ssl.qhimg.com/t010d1627faddd91f92.png

    该程序启动执行后在C:Program Files下创建WinHomeLite目录,分别释放HomeLockerUpdateServices.dll、HomePageLocker.exe、HPHelper32.dll、HPHelper64.dll、locker32.exe、locker64.exe、uninstall.exe这七个文件。该目录下的文件均加了UPX的压缩壳,签名同样均为“SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.”后续继续释放了DriverCode_X64.sys和DriverCode_X86.sys两个驱动文件。

https://p5.ssl.qhimg.com/t01ebaa97cbc3a5d2e8.png

    随后通过调用regsvr32.exe将WinHomeLite目录下的HomeLockerUpdateServices.dll添加到服务项中,这里/s是让程序静默运行不显示结果提示框。

https://p0.ssl.qhimg.com/t014f02b4dacd9cc617.png

接着启动同目录下的HomePageLocker.exe,由HomePageLocker.exe启动Locker32.exe。

https://p1.ssl.qhimg.com/t014facee895c17d5cb.png

    而HomePageLocker.exe在启动的时候会检测是否带参数执行,主要参数有update和uninstall。Uninstall主要功能是卸载,这里主要分析update主要的功能。它会获取系统进程并且检测进程中是否有杀软进程以及2345Service。

https://p3.ssl.qhimg.com/t0123cbdeb012a3b154.png

    程序会通过访问网络进行联网更新,通过分析程序会与http://www.microrui.net/update/update.json.txt?channel=guanwang&ss=建立链接从而实现更新操作。如果HomePageLocker.exe不带参数启动的情况,它主要作用是启动启动Locker32.exe

https://p3.ssl.qhimg.com/t017718fbb3abee7480.png

https://p1.ssl.qhimg.com/t01785a7dd524a7f08f.png

    Locker32.exe启动后会向whtj.meijucenter.com建立链接,通过捕获数据包发现程序向该网站发送数据。

https://p4.ssl.qhimg.com/t015e3a734769da267e.png

https://p2.ssl.qhimg.com/t01969fe18c55c3af6f.png

    而篡改租户电脑的浏览器主页的方式通过Locker32.exe安装消息钩子“HPHelper32.dll”,接着会检测电脑的浏览器进程。

https://p1.ssl.qhimg.com/t01f29a5136bf9cad53.png

https://p4.ssl.qhimg.com/t018ef5dc5bcdf7951b.png

    当用户打开浏览器的时候,即便浏览器主页设置中没有被修改,由于消息钩子“HPHelper32.dll”的原因浏览器会自动跳转到指定的网站,从而达到一个挟持主页的效果。

https://p0.ssl.qhimg.com/t010f752108d85558b5.png

https://p4.ssl.qhimg.com/t016180c14c27a685af.jpg

    浏览器主页被恶意“篡改”、“挟持”,这是部分用户经常碰到的问题,而导致这些问题产生的原因主要是电脑病毒和流氓软件被恶意传播。这款“房子视频.mp4. . . . .exe”流氓软件则是利用在租凭网站上发布租凭信息,将自身伪装成视频文件诱导租户下载执行,从而造成用户的电脑上的浏览器主页被篡改成了自己不熟悉的主页网址,给用户正常使用电脑造成影响。

https://p0.ssl.qhimg.com/t01352f1d7b4cb5c9f5.png

    在此提醒广大用户不要下载来历不明的文件,不随意点击陌生人发布的链接地址,并开启360安全卫士拦截查杀木马。

本文由360QVM原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84100

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360QVM
分享到:微信

发表评论

360QVM

这个人太懒了,签名都懒得写一个

  • 文章
  • 15
  • 粉丝
  • 1

TA的文章

相关文章

热门推荐

文章目录
安全KER
商务合作
内容需知
合作单位
  • 安全KER
  • 安全KER
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66