寒光病毒劫持用户主页，360安全大脑率先截杀

近期，360安全大脑检测到大量携带“寒光”病毒的激活工具在外网传播，感染用户机器后会释放病毒驱动劫持用户的浏览器首页，以此牟取利益。除此之外，该病毒还会通过注册minifilter，映像加载回调等方式，对抗各种安全组件的加载，提高病毒的存活率和检出难度。“寒光”病毒的传播趋势，如下图所示：

                                             

技术分析
用户在运行带毒的暴风激活工具v17.0后，会激活其携带的病毒代码，在%temp%目录下释放一个Delphi语言编写的下载者木马，该木马会通过http[:]//down.2win10.com/1.0.0.1/FileSafe_auto.exe下载FileSafe_auto.exe执行。

FileSafe_auto会根据系统版本释放并加载资源中携带的病毒驱动和动态库。FileSafe_auto.exe资源信息如下：

病毒动态库
释放的病毒动态库为mhlpcom32.dll，通过360安全大脑样本追溯，该病毒样本于2017年开始传播，新旧版本都携带“Xiamen Yitianxia Network Technology Co., Ltd”数字签名，不过新版的数字签名已过期，且与旧版数字签名的颁发者也不同，由此我们猜测新版的数字签名可能是病毒作者伪造的。新旧版本的数字签名对比如下：

经过对比新旧版本的代码逻辑，发现二者并无太大变化。在旧版本病毒样本的调试信息中，我们可以看到病毒作者将该项目命名为“驱动锁首页”，而动态库则是通过挂钩CreateProcess函数达到劫持浏览器首页的目的。新旧版本的调试信息对比如下：

虽然该病毒与2017年就已开始传播，但是在VirusTotal上，只有360一家厂商能查杀此病毒：

驱动分析
FileSafe_auto.exe释放病毒驱动并将其注册为系统服务，然后启动服务，加载病毒驱动，相关代码逻辑如下：

病毒驱动通过注册minifilter，阻止浏览器进程和安全软件读取相关的安全组件，以此破坏安全组件的正常加载：

被阻止的安全组件列表如下：

注册映像加载回调，在iexplorer.exe进程加载相关的安全模块时，判断MHLPCOM32.dll文件是否存在，若存在则会将安全模块的入口点位置代码进行破坏，以保护MHLPCOM32.dll病毒逻辑能正常执行。破坏入口点的相关逻辑如下：

创建进程回调与创建线程回调功能类似，都是通过改变进程环境块（PEB）中的命令行参数实现浏览器主页劫持：

劫持的网址最终会跳转到带有病毒作者推广号的导航页面，病毒作者也以此牟利：

安全建议
（1）       各类激活工具和破解软件是病毒传播的绝佳途径，由于网上流传的激活工具来源甚广，安全性都无法保证，很容易就感染病毒，所以360安全大脑建议各位用户不要使用此类工具，以免受到病毒感染。

（2）       360安全卫士支持查杀“寒光”病毒，中毒的用户请前往weishi.360.cn下载查杀。

来源  360安全卫士

好(✪▽✪)！