请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 漠视迩旳骄傲 于 2018-10-17 15:20 编辑
近期,360安全中心接到大量用户反馈,电脑出现浏览器主页被篡改,必应搜索莫名其妙跳转到百度页面等现象,经过我们分析之后,发现是感染了Netfilter病毒新变种。

通过溯源发现,该病毒伪装成KMSpico激活工具在下载站进行传播,感染用户机器后会篡改各大主流浏览器的配置文件,从而实现主页锁定和默认搜索引擎劫持的病毒逻辑,并且释放病毒驱动,实现必应等网站流量劫持的目的。

传播途径
病毒作者将KMSpico激活工具与病毒驱动及各种配置文件通过NSIS重新打包,发布在win7之家下载站进行传播。下载站下载页面,如下图所示:

360社区

360社区



详细分析
KMSpico.exe
原始的病毒文件是一个NSIS安装包,安装包目录如下图所示:

360社区

360社区

在运行后会先查找各主流杀毒软件的进程是否存在,如果存在则会提示用户退出杀毒软件,以防止在释放病毒驱动时被杀毒软件查杀。如果不存在杀毒软件进程,则会调用7zip主进程解压kms.dat文件并执行其中的kms.exe,解压密码为aabbccdd。检测的杀毒软件进程列表,如下图所示:

360社区

360社区

病毒执行逻辑如下图所示:

360社区

360社区


360社区

360社区


kms.exe也是NSIS安装包,安装包中包含原始KMSpico激活工具,病毒驱动以及各大主流浏览器配置文件。安装包目录如下图所示:

360社区

360社区


包含下列浏览器的配置文件:

360社区

360社区


病毒会先根据当前用户机器的MachineGuid生成病毒驱动名,并选择相应操作系统位数的病毒驱动进行加载,之后会篡改2345王牌浏览器和QQ浏览器的主页设置,并用病毒作者定制的浏览器配置文件替换当前用户的浏览器配置文件。执行流程,如下图所示:

360社区

360社区


病毒作者通过定制的浏览器配置文件,劫持用户的浏览器主页,搜索引擎,收藏夹等多个位置,部分配置文件如下图所示:·
劫持主页
Firefox浏览器:

360社区

360社区


Chrome系列浏览器:

360社区

360社区


浏览器主页被篡改为hxxp://www.xiangqin7.com,访问该网站会重定向到下图所示网站给病毒作者刷量。

360社区

360社区


篡改默认搜索引擎的设置,在用户使用默认搜索时,会增加病毒作者的推广号进行刷量。
收藏夹
该病毒还会将QQ浏览器的FavouriteTabDefault选项进行篡改,其中包括爱淘宝,龙珠直播,百度等网站。

360社区

360社区


驱动分析
病毒驱动通过对象劫持隐藏自身驱动信息,躲避分析与查杀,如下图所示:

360社区

360社区


利用ARK工具可以检测到两个fltmgr.sys内核模块:

360社区

360社区


病毒驱动通过注册映像加载回调,在svchost.exe进程加载ntdll.dll模块时,将病毒动态库注入到svchost进程的内存中,并且挂钩NtTestAlert函数,获得病毒代码的执行权限。注入逻辑,如下图所示:

360社区

360社区


360社区

360社区


当NtTestAlert挂钩被触发后会跳转到shellcode1进行执行,shellcode1会先恢复NtTestAlert位置的钩子,并调用shellcode2。

360社区

360社区


shellcode2会创建一个新线程,调用病毒动态库入口。代码逻辑,如下图所示:

360社区

360社区


病毒动态库
该动态库是Netfilter病毒新变种,在Netfilter原有的网络过滤功能之上,增加了劫持根证书和HTTPS流量过滤的功能。与旧版本Netfilter病毒部分数据对比,如下图所示:

360社区

360社区


当病毒动态库运行时,会使用病毒携带的根证书替换浏览器原来的根证书,证书名称为Verisign,相关代码,如下图所示:

360社区

360社区


替换前后证书对比:

360社区

360社区


被注入的svchost.exe进程会绑定一个本地监听端口,以代理的形式将浏览器的https流量重定向到此端口,以中间人劫持的方式篡改等网站的搜索请求,将其篡改为百度搜索,并增加推广号(tn=94949583_hao_pg)刷取流量。利用fiddler观察流量劫持流程,如下图所示:

360社区

360社区


查杀建议

1, 激活工具和破解软件近些年来一直都是病毒木马传播的绝佳途径,为了保护用户隐私和计算机安全,建议广大用户不要使用此类软件。

2, 目前360安全卫士以支持此类病毒查杀,如果浏览器主页被锁定为,或者电脑出现必应搜索跳转到百度网站的现象,建议安装360安全卫士进行查杀。

下载地址:http://dl.360safe.com/inst.exe

360社区

360社区


文中涉及到的样本:

MD5:40b212e5a0f7d1a7b5bf58518009ab35

共 0 个关于【安全资讯】百度劫持必应搜索?是病毒从中作梗!的回复 最后回复于 2018-10-17 15:48

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

漠视迩旳骄傲 产品答疑师

粉丝:39 关注:0 积分:15382

精华:3 金币:8520 经验:8406

最后登录时间:2023-8-2

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表