论网络作恶,病毒木马“当仁不让”,它们不仅花样百出、隐藏极深还无孔不入。近期360安全大脑监测发现一批伪装成破解补丁、网赚工具、刷钻程序等进行传播的木马程序。这些木马在暗地里刷访问量、篡改浏览器首页、弹虚假广告,据统计受其影响的用户已超过10万。
作恶木马手段多,花式入侵令人细思极恐
经360安全大脑分析,此次作恶木马狡诈多端,为达目的不择手段。首先,木马乔装改变,企图被当作正常程序安装到用户计算机中,一旦成功,不仅不提供卸载项,还会将自身添加为开机自启动,一副“我是主宰”做派。
其次,为了不被发现,且能长时间灵活作案,该木马将进行“刷量”所使用的配置文件都存储在云端并进行多层加密,以便它能够进行自主控制。同时,木马在进行暗刷之前还会对刷量程序进行静音处理,以保持暗刷时完全静音隐蔽,做到“万无一失”。
更为狡猾的是,为躲避其宿敌——360安全软件的强力查杀,部分木马的下载页面中会专门为360提供“特供”的加密压缩包,且会“悉心指导”用户将其添加至360的白名单中,企图混过审查。
此外,木马作恶不停歇。在后台疯狂刷流量的同时,它还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页,以及频繁弹出无法正常关闭的广告窗。
不得不说,在非法利益的驱动之下,木马病毒在隐藏及伪装方面不断进化升级,简直是丧心病狂、绞尽脑汁。
作恶木马胆量大,黑手伸向热门领域且牵扯甚广
据360安全大脑监测发现,该木马所刷流量涉及某狐、某酷等多家知名网站,以及北京、上海、天津等地的6家广告联盟。刷量内容如下(已隐去部分业务/联盟名称):
同时,该木马不仅将黑手伸向热门领域,暗刷量也极其高。以*狐视频为例,被暗刷的剧集播放量最高已经超过了3000万,最少的也有400多万。
此外,该木马还以庞大的“活跃触角”,不断扩大着影响范围。根据360安全大脑的数据统计显示,仅最近还在活跃的某单一木马样本——在近3个月中就被360拦截过百万次。而整个该家族木马所影响计算机设备数则超过十万台。
而该族系的木马所使用的刷量配置云控域名常年处于活跃状态,我爱范文,并在2018年底的时候更是达到过单日请求量超过10万次的高峰。
如此“活跃”作案之下,全国绝大多数的地区已受其影响。其中,以广东、江苏、山东、河南、浙江五个地区的受影响程度最高。
监控查杀“双剑合璧”,360安全大脑第一时间构建流量防护网
面对作恶者,360安全大脑第一时间对该木马进行了监控与查杀,为广大用户建立起安全防护网。除此之外,安全专家还对该木马做了行为分析,揭露其作恶轨迹:
后台暗刷流量分析:
一旦木马安装到用户计算机,它便会访问云端配置文件获取待刷页面的列表,利用用户计算机进行刷量操作。
而云端所提供的配置列表是通过AES的CBC模式加密的,木马解密时所使用的KEY和IV均通过简单编码后硬编码于程序中,相关代码如下图所示:
分析人员对其配置进行解密之后,看到里面内容包括:刷相关的点击、鼠标操作、页面元素等多达100余项参数。
根据分析时所获取到的配置文件内容,360安全专家又解密出云控刷量URL,内容包括某狐、某酷及对应广告代码等列表。部分片断如下图所示:
静默修改浏览器主页、起始页
除了上述的刷量操作,木马还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页。木马所篡改的浏览器列表如下:
木马篡改浏览器起始页代码如下:
最后,面对擅长伪装、又无孔不入的木马病毒,360安全大脑提醒广大用户:
1、建议前往weishi.360.cn,安装360安全卫士,并保持杀毒软件开启;
2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;
3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀此类病毒木马。
IOC
MD5+SHA1:
17612063fefd919856c57a2ad4e4b056+99f24644beb4d384938462ee3a269d285d66aca3
191caf770b3a930208c3fcc0872c9191+2abb1e171361c68304d752f6dfb28ed9443e8c81
1abc1fe6f3a9351a008b08c7683267d1+cbf5895c6328f91535e02807d9121964c9ede1ff
2c377b6022ff65df8c4635b574eb80e9+c66a850f90f131a187778905c360ec2742327c5d
30a0863b215e2faec52680e476f42317+acd82000207909b9beb5152e6768a38eab82777b
315fd1403ac6a3e304710dd1848cea8b+0fd40d3b6075dc991373639737f22b0d6038cf00
3ac47e8b99741efafb73584a78890b2c+5e37cd869104ef0e5c7eaeac2783389bbaa3557f
4af3ecb949078365738340c37de948c9+15238f727b03e23351a72fb191440c0b2d04b07c
551afe30bdba24748b2f411430d0a246+91dfe995285172f546ed4d9cb90bd4c7777e1694
63666cada4b376aabb47e79240d32356+8f76eb19de632f0bf7a621a2183fda15bb0649b4
64e8034088672c1296255cd6be55bf63+94e71dd3226cf3cea767d924dcf5ff0c271e2f23
6539ce5ddd3d069e01d27b03618e8ff4+7d938602527b8ec873abcd6423e22ea4e4a4ba47
69b2e5ff2464a308f25a372a6b06ed4e+b287ec78ce98fc97890eced1973edb034a60a04e
72c904c7d2c11965515e02c8f9fe0a35+4b5942835bf784d39cb0dee4a601e38a39fb86a9
7ff3851913d24ed51b386482079baf65+d04d89193f92b257a345562cc42d94a1333d2c59
9567fb78b394e3ec5030b7da471fb13d+1c4bbaf79a13a6c20d741e10b949b376a7421cec
a38bf8ca3d89c69bd8e616bf125a6aaa+ebb42bff699fcbd19665b6d21f465dc0647fd350
b1ea10f822138289ecf2639c35c8fd26+84a502984ec27e5b6a43f14fa310316b5079c0e9
b341b9e60ff528fbf6409f235b7adac8+16d9d0a4e6a55c189699623115944ef76b3267ef
bac857e6a8c8143793be8195b26df4e1+309d798b00fc248f6f748ff1cefe4ea52e35b8f5
bacd8c9223503707e0fb2be7ed280239+5dc3b8c177e17b07990dff793bdd26cfe3b609eb
beb15e11c862cfdafc78e91b7b88d7e3+c5973e68d53c1ec8ded1baab7813e25a9ac0e357
ce0b91546b26258bd3d90a3425b8ef9a+59f72bbbc04bbb48f0be817f7e2a27f617ec97df
d4454abec6e8c892984393cde0c1ea6a+b039dd3a88ef25c9b267cc18edbc21671763ab51
dae69355f78958b2695aface6d495fdf+04db9c2494d3d7305e879ddd215fb0a6ecdcc5a2
dbe17e35ef798ec690827830d7a84fa3+57bedfa23af5a9486b9f9da0eb8ed819faf0f6ec
de316820918610d60198831cc926b8f4+40f68adf9d073be7af187b311322d9f080d6d458
fc319762d4e08dead40d994083dcfc8e+76b6a8e14647b0a93bbe561326d33fb29583165b
URLS:
hxxp://e.kuyisoft[.]com:38001/getaes
