当前位置 : 首页 > 徐州网络安全技术论坛 > 后门病毒通过下载站传播,全面劫持各大主流浏览器

后门病毒通过下载站传播,全面劫持各大主流浏览器

作者:徐州软件公司  文章来源:徐州软件公司   阅读次数:221 次
2018-06-25

此文章是徐州软件公司整理的技术资料,由徐州软件公司总务部发布,邮箱:zongwu@xuzhousoft.com

江苏徐软信息科技有限公司江苏徐软信息科技有限公司

一、 概述

日前,火绒安全团队截获后门病毒”Humpler”。该病毒伪装成多款小工具(如:老板键、屏幕亮度调节等),正通过2345软件大全等多个知名下载站进行传播。病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。并且该后门病毒还在不断更新恶意代码,不排除未来会向用户电脑派发更具威胁性病毒的可能性。

后门病毒通过下载站传播 全面劫持各大主流浏览器

Humpler病毒伪装成”老板键”、”屏幕亮度调节”等多款小工具。当用户在2345软件大全、非凡、PC6等下载站下载并运行上述小工具后,病毒将侵入电脑。随即弹出弹窗,询问是否”愿意支持”该软件,如果用户选择”支持”,病毒会立即劫持浏览器首页。但即使用户选择拒绝,病毒仍会在一天之后劫持用户的浏览器首页。也就是说,无论用户选择愿意与否,被感染电脑浏览器首页都会被劫持。

后门病毒通过下载站传播 全面劫持各大主流浏览器

“火绒安全软件”最新版即可拦截并查杀该病毒。我们看到这些小工具在下载站中的排名靠前,极易吸引用户点击下载。建议近期在上述下载站下载过软件的用户,尽快使用”火绒安全软件”对电脑进行查杀。

二、样本分析

近期,火绒截获到一批后门病毒样本,病毒会将自己伪装成小工具(如:超级老板键、超级变声器、屏幕亮度调节等),并会通过2345软件大全、非凡下载站、PC6下载站等多个软件下载站进行传播。病毒会通过C&C服务器获取最终恶意代码,恶意代码执行后,表面会询问用户是否”愿意支持”软件后进行首页锁定。但在第二天用户再次启动该程序时,不论用户是否选择”愿意支持”都会强行劫持浏览器首页。而且为了躲避安全厂商查杀,现阶段被下发的病毒模块为PE头被简化过的模块数据。截至到目前,被下发的病毒模块数据依然在持续更新,我们不排除病毒将来会下发其他病毒模块的可能性。下载站下载页面,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

软件下载页面

徐州网络信息安全公司徐州徐软信息科技有限公司以超级老板键为例,病毒代码执行后会与C&C服务器(www.baidu-home.comwww.2k2u.com)进行通讯,请求远程恶意代码至本地进行执行。病毒逻辑相关代码会夹杂在软件功能代码中,在独立线程中执行病毒逻辑。相关代码,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

病毒代码位置

病毒首先会通过访问http://www.baidu.com检测当前的网络状态,如果无法正常联网,则不会运行病毒流程。如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

检测当前网络状态

在网络状态正常的情况下,病毒首先会解密出用于请求远程恶意代码的相关代码,并进行执行。如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

解密执行代码逻辑

在上述解密后代码运行时,会通过检查软件断点的方式检测调试器。相关代码,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器 检测调试器代码

解密后的病毒代码,首先会访问C&C服务器地址(hxxp://www.baidu-home.com/bosskey/checkupdate.txt)获取恶意代码下载地址。最终会通过访问C&C服务器(hxxp://www.2k2u.com/plugin/bosskey/bosskeyupdate.dat)获取到远程恶意代码到内存中加载并执行。最终请求到的恶意代码,是一个PE头被精简过的PE文件,病毒在获取到恶意代码后会通过虚拟映射的方式将恶意代码加载到内存中进行执行。之所以通过C&C服务器下发精简的PE镜像数据,而不是下发完整的PE镜像文件,主要是为了对抗安全厂商的查杀和安全研究人员的逆向分析。恶意代码执行后,会弹出窗口询问用户是否”愿意支持”该软件,但如果运行日期与注册表(HKEY_CURRENT_USER\Software\Classes\CLSID\{2B53F0A7-3238-4b4d-8582-E53618739C90}\LockDate)中记录的首次运行日期不同时,则会直接执行首页劫持的代码逻辑。弹窗截图,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

弹窗截图

该病毒运行后还会将同目录下的BosskeyServer.exe注册为系统服务,而且BosskeyServer.exe中也包含有与主程序中相同逻辑,在首次运行的第二天BosskeyServer.exe则会自动劫持浏览器首页。不过在带有相同恶意代码的小工具中,并不是所有小工具都会注册系统服务,对于只有一个病毒模块的小工具来说,则需要依靠用户在首次运行的第二天执行带毒程序,才会在不经过用户允许的情况下劫持浏览器首页。

最终执行的恶意代码会通过检测运行进程、注册表、调试器和运行日期与分析人员进行对抗,只有在运行日期与首次运行日期不同时,才会继续执行恶意代码。被下发病毒模块的主要代码逻辑,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

劫持浏览器首页代码逻辑

与代码相关数据,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

远程恶意代码数据

恶意代码执行后,恶意代码逻辑会通过修改浏览器配置的方式劫持浏览器首页,并释放带有推广计费号的快捷方式。受影响的浏览器列表,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

受影响的浏览器列表

恶意代码执行后,被释放的快捷方式。如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

被释放的快捷方式

恶意代码对进程和注册表的检测,主要针对反病毒工具的进程名、注册表项,一旦检测到环境中存在上述进程或注册表,则会直接退出恶意代码执行流程。相关代码逻辑,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

检测代码

被检测的进程名(其中vmware为子串),如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

被检测的进程名

被检测的注册表项,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

被检测的注册表项

通过我们根据域名hxxp://www.baidu-home.com进行溯源分析,我们发现带有相同恶意代码逻辑的软件不止一个。带有相同代码逻辑软件,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器 带有相同恶意代码的软件

以PDF转WORD超级转化器为例。同源代码,如下图所示:

后门病毒通过下载站传播 全面劫持各大主流浏览器

同源性代码

三、 附录

文中涉及样本SHA256:

后门病毒通过下载站传播 全面劫持各大主流浏览器

江苏徐软信息科技有限公司(简称徐州软件公司)是徐州软件公司中成立时间最长、技术能力最强、经济实力最雄厚的徐州软件开发公司之一,专业的徐州软件开发团队,从事徐州软件开发10年,一直保持着徐州软件开发行业排头兵的地位。徐州软件公司徐州软件开发行业内的众多徐州软件开发公司保持着良好的合作关系,是徐州软件开发行业的领航者之一。徐州软件公司立足徐州软件开发市场,主攻徐州软件开发徐州APP开发徐州软件公司徐州ERP软件开发徐州OA软件开发徐州CRM软件开发等领域拥有大量经典案例。更多信息请访问徐州软件公司官方网站:

徐软com:http://www.xuzhousoft.com  徐软cn:http://www.xuzhousoft.com.cn
徐软app:http://app.xuzhousoft.com  淮北徐软:http://huaibei.xuzhousoft.com.cn
济宁徐软:http://jining.xuzhousoft.com.cn  亳州徐软:http://bozhou.xuzhousoft.com.cn
菏泽徐软:http://heze.xuzhousoft.com.cn  宿州徐软:http://suzhou.xuzhousoft.com.cn
枣庄徐软:http://zaozhuang.xuzhousoft.com.cn  宿迁徐软:http://suqian.xuzhousoft.com.cn
商丘徐软:http://shangqiu.xuzhousoft.com.cn  连云港徐软:http://lianyungang.xuzhousoft.com.cn
莱芜徐软:http://laiwu.xuzhousoft.com.cn  泰安徐软:http://taian.xuzhousoft.com.cn
日照徐软:http://rizhao.xuzhousoft.com.cn  开封徐软:http://kaifeng.xuzhousoft.com.cn
周口徐软:http://zhoukou.xuzhousoft.com.cn  盐城徐软:http://yancheng.xuzhousoft.com.cn
淮安徐软:http://huaian.xuzhousoft.com.cn  阜阳徐软:http://fuyang.xuzhousoft.com.cn
蚌埠徐软:http://bengbu.xuzhousoft.com.cn  临沂徐软:http://linyi.xuzhousoft.com.cn
邳州徐软:http://pizhou.xuzhousoft.com.cn  新沂徐软:http://xinyi.xuzhousoft.com.cn
沛县徐软:http://peixian.xuzhousoft.com.cn  睢宁徐软:http://suining.xuzhousoft.com.cn
丰县徐软:http://fengxian.xuzhousoft.com.cn  萧县徐软:http://xiaoxian.xuzhousoft.com.cn
砀山徐软:http://dangshan.xuzhousoft.com.cn  微山徐软:http://weishan.xuzhousoft.com.cn
永城徐软:http://yongcheng.xuzhousoft.com.cn  网络营销:http://www.f168yingxiao.com
徐州系统集成公司:http://www.0516app.com

关键字标签:徐州软件公司 徐州软件开发公司 徐州APP软件开发公司 徐州ERP软件开发公司 徐州CRM软件开发公司 徐州OA软件开发公司

下载DOC版 下载PDF版

* 以上内容由 徐州软件公司 整理


关于我们

    江苏徐软信息科技有限公司(简称徐州软件)位于国家大学科技园内,成立于2005年,注册资金1000万元,是徐州地区最具实力的集软件开发、电子商务技术服务、门户网站建设、系统集成、网络工程为一体的高科技IT技术公司之一。

技术支持

  • 售后服务电话:0516-83003411
  • 售后服务QQ:412110939
  • 售后服务邮箱:
    service@xuzhousoft.com
  • 售后投诉电话:18795428064
徐州软件公司
    扫描微信二维码即可获得
    免费信息化咨询服务

Copyright© 2005 江苏徐软信息科技有限公司 All Rights Reserved.
苏公网安备 32030302000144号  苏ICP备11059116号-5

地址:江苏省徐州市云龙区和平路57号江苏师范大学科技园4F  徐州软件公司
电话:0516-83737996 邮箱:sales@xuzhousoft.com

江苏徐软信息科技有限公司地图
江苏徐软信息科技有限公司地图
点这里关闭本窗口
×