关闭

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 好奇者试用 活动 专题 商城
本帖最后由 飞机飞行 于 2017-3-20 19:33 编辑

360社区

360社区

0x00 前言


对于网站上的各种弹窗侧栏广告,大家已经屡见不鲜。我们一边通过网站获取我们想要的信息,一边默默忍受的各种广告的苦恼。

网站论坛通过投放广告来获得收入,这是无可厚非的,但是,我们在网站上看到的各种广告,并不一定就是该网站正常投放的,有可能是其他恶意软件通过某种技术手段,进行的流氓广告推广。这种恶意软件一旦得以运行,往往会使用户的浏览器上出现各种莫名的、来历不明的“幽浮”广告。

近日,360互联网安全中心捕获到一个恶意软件程序,该恶意软件正是通过劫持浏览器,注入恶意的JS代码,从而达到投放流氓广告获利的目的。


0x01 恶意软件信息


该恶意软件名为“WebJs”,打开之后,无任何界面,一直在后台静默运行。通过对该恶意软件的分析以及溯源,发现该软件是由一个名为浏览器卫士(HProtect)的软件下载并安装运行的,该浏览器卫士其实是一个假借着保护浏览器的名义的流氓软件,它会阻止其他浏览器以及安全软件的安装,破坏安全软件的功能,同时会静默下载安装推广软件。通过搜索,发现很多用户都遇到过这种问题,如下图所示。

360社区

360社区

图1浏览器卫士的相关问题(一)

同时也有很多网友反馈该浏览器卫士来自系统自带,由此可见盗版的系统安装镜像也是该恶意软件的传播渠道之一,如下图所示。

360社区

360社区

图2浏览器卫士的相关问题(二)


0x02 运行效果


该恶意软件一旦得以运行,用户使用浏览器打开的任何HTTP页面都会被插入恶意的JS代码,这里以IE打开360搜索主页(www.so.com )为例,通过使用网络监控工具,可以发现本来应该是IE浏览器发送给服务器的请求,却全部被重定向到WebJs.exe,查看该页面的Web源码,发现该页面被插入了恶意的JS代码,该类型的恶意代码通常是用来进行各种广告的推广,比如浏览器右下角的弹窗,左右侧广告等等,如下图所示。

360社区

360社区

图3 HTTP劫持效果


0x03 基本流程


该恶意软件采用了中转服务器的方式,它分为主体程序WebJs.exe和劫持DLL两部分,WebJs.exe主要负责注入劫持DLL到浏览器进程中、中转浏览器的请求以及篡改HTTP响应包,劫持DLL主要是负责将浏览器的HTTP请求重定向到WebJs.exe。正是通过此种手法来劫持浏览器上的所有HTTP数据,注入恶意的JS代码,其主要工作流程如下图所示。

360社区

360社区

图4 WebJs恶意软件工作流程


0x04 详细分析


4.1 WebJs.exe运行之后,会立即添加自身到自启动项中,以便常驻系统。

360社区

360社区

图5 添加自启动

4.2从自身资源中释放恶意的劫持DLL文件,加载并运行DLL中的SetShellHook函数,实现DLL注入功能。

360社区

360社区

图6 释放并运行劫持DLL

4.3 监听本地9868端口,该端口总是接收来自各个浏览器的HTTP请求,然后中转该请求。

360社区

360社区

图7 监听9868端口并处理请求

4.4劫持浏览器的所有HTTP链接,并篡改HTTP响应包,向HTML页面中插入恶意代码。

360社区

360社区

图8 插入恶意的JS脚本

4.5 在WebJs.exe运行之后,一旦用户打开浏览器,就会被注入劫持DLL文件(1.dll),该劫持DLL会判断当前进程是否为浏览器。

360社区

360社区

图9 判断宿主进程是否是浏览器

4.6 Hook浏览器的connect函数,将浏览器的所有的HTTP链接重定向到本机的9868端口,也就是WebJs.exe监听的端口,这样就完成了HTTP的劫持流程。

360社区

360社区

图10 劫持HTTP请求到本地的9868端口


0x05 查杀情况以及如何防范


目前,360安全产品已经能够对该恶意程序进行查杀,如果在上网的过程中遇到文中类似的问题,请及时进行扫描查杀。

在此360反病毒专家提醒广大用户,请使用正规渠道的系统镜像安装系统,请谨慎使用来路不明的程序,保持杀毒软件常开,定期进行安全体检。如果发现异常程序,请及时向360互联网安全中心反馈,我们会在第一时间协助您解决问题。

360社区

360社区

图11 VirusTotal的查杀情况


共 0 个关于【木马分析】“幽浮”广告:一个浏览器劫持软件的技术分析的回复 最后回复于 2017-3-20 19:26

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:108 关注:2 积分:61613

精华:3 金币:125582 经验:55552

最后登录时间:2017-06-22

私信 加好友

飞机飞行

粉丝:108 关注:2

私信

最新活动

【活动】玩儿转快剪辑,赢取360安全路由2代

内容推荐 热门推荐最新主帖

    360社区客户端下载

    快速回复 返回顶部 返回列表