安全動態(tài)

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-10-28    瀏覽次數(shù):
 

信息來源:4hou

一、概述

騰訊安全御見威脅情報中心檢測到一名為updataxx.rar的驅(qū)動型木馬捆綁在流行游戲外掛中傳播。該木馬頻繁更新躲避殺毒軟件查殺,木馬內(nèi)置多個網(wǎng)址提供自更新服務(wù)。該木馬的主要危害是進(jìn)行主頁劫持,劫持的網(wǎng)址列表從云端配置文件獲取。但由于每次開機(jī)啟動都會進(jìn)行自更新,不排除后期拉取其他惡意功能的代碼執(zhí)行,潛在危害較大。該木馬近期活躍性上升,疑與電商購物節(jié)之前劫持用戶瀏覽器導(dǎo)流獲利有關(guān)。

騰訊安圖關(guān)聯(lián)數(shù)據(jù)顯示,該系列木馬驅(qū)動的多個自更新網(wǎng)址注冊時間都是2018年年底,如yun.521drive.com、go.gengxinsys.com注冊時間為2018年12月;bb.niuqudong.com注冊時間為2018年11月,從今年4月份開始活躍,累計已有上萬臺機(jī)器被感染。

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

二、詳細(xì)分析

該木馬驅(qū)動文件具有數(shù)字簽名:金華米粒網(wǎng)絡(luò)技術(shù)服務(wù)有限公司,該簽名被Rootkit病毒頻繁使用,目前該簽名已經(jīng)失效。

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

1、備份多個地址自更新

木馬驅(qū)動開機(jī)加載后,會聯(lián)網(wǎng)獲取最新版本實現(xiàn)自更新。病毒內(nèi)置多個更新地址,根據(jù)系統(tǒng)版本選擇下載32/64位的驅(qū)動進(jìn)行安裝更新。

部分自更新地址如下:

· hxxp://go.gengxinsys.com/updata32.rar

· hxxp://go.gengxinsys.com/updata64.rar

· hxxp://my.51years.com/updata32.rar

· hxxp://my.51years.com/updata64.rar

· hxxp://ss.wanqudong.com/updata32.rar

· hxxp://ss.wanqudong.com/updata64.rar

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

2、主頁劫持

注冊了進(jìn)程創(chuàng)建回調(diào),當(dāng)檢測到瀏覽器進(jìn)程啟動時則進(jìn)行命令行篡改。對市面上主流的瀏覽器都進(jìn)行了劫持,包括ie,谷歌,火狐,QQ瀏覽器等。

對瀏覽器進(jìn)程進(jìn)行檢測匹配:

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

劫持主頁的網(wǎng)址聯(lián)網(wǎng)獲取,配置文件下載地址: hxxp://ss.wanqudong.com/listh.rar,下載回來的配置文件經(jīng)過了加密,解密后的網(wǎng)址:hxxp://www.0kl6wc.cn/,配置文件里的網(wǎng)址變換頻繁。

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

3、解密算法:

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

跳轉(zhuǎn)到劫持導(dǎo)航頁,目前配置文件里劫持的導(dǎo)航頁為游戲資訊站。

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

4、聯(lián)網(wǎng)獲取配置文件

聯(lián)網(wǎng)獲取多個配置文件,除了上文提到的主頁劫持配置文件listh.rar及自更新文件updata32.rar, 還有游戲網(wǎng)址xinlistj.rar,游戲外掛及病毒文件MD5列表md5exe.rar,

exe特征碼exeFeaturecode.rar等等。

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

xinlistj.rar,md5exe.rar,listh.rar都經(jīng)過 加密,解密算法和上文解密劫持網(wǎng)址的一樣。解密后的游戲外掛及病毒文件MD5列表:

游戲外掛捆綁驅(qū)動木馬,已劫持上萬臺電腦瀏覽器

5、自保護(hù)

該木馬病毒通過多種方式實現(xiàn)自保護(hù),包括:

注冊關(guān)機(jī)回調(diào),在關(guān)機(jī)或重啟機(jī)器時重寫注冊表及文件,實現(xiàn)文件路徑及服務(wù)名隨機(jī)化,以加大發(fā)現(xiàn)查殺難度。

映像劫持,將自身文件重定向到微軟正常的系統(tǒng)文件,查看文件信息帶有微軟簽名。

將驅(qū)動服務(wù)啟動組Groups設(shè)置為System Reserved及啟動類型為Boot型,實現(xiàn)開機(jī)搶先加載。                

三、安全建議

1.游戲外掛一直都是各種頑固病毒木馬傳播的溫床,建議游戲玩家謹(jǐn)慎使用。

2.保持殺毒軟件的實時防護(hù)處于開啟狀態(tài)。

 
 

上一篇:公有云內(nèi)網(wǎng)安全感知解決方案

下一篇:Adobe漏洞泄露了750萬Creative Cloud用戶數(shù)據(jù)