HTTPS劫匪玩出新花样，劫持优酷及各大电商流量

近期，360安全大脑迅速感应并查杀了HTTPS劫匪木马的最新变种，该木马通过色情网站进行大肆传播，日均感染机器八千余台。感染用户机器后，HTTPS劫匪木马会向Google Chrome，QQ浏览器，搜狗浏览器等多款浏览器添加“购物党全网自动比价工具”，“惠惠购物助手”，“充值助手”，“购物盒”等恶意插件，劫持浏览器流量。

此外，最新的变种也保留了利用kangle web服务器进行中间人劫持的攻击手法，而且劫持方式更加多样化，如劫持2345导航页面的电商连接，劫持优酷视频，向里面添加广告，劫持网络广告服务商的推广链接等，但是纵然花样百出，病毒作者的目的也只有一个，那就是将用户的正常流量替换为携带病毒作者渠道号的异常流量，通过刷量牟取高额的收益。

感染过程

通过360安全大脑统计，该病毒是由大量的色情网站进行传播，当用户访问携带病毒的色情页面时，页面会提示用户下载“专用播放器”，而播放器的下载链接即为病毒链接，经过分析发现，该链接并不会下载任何播放器，只会传播HTTPS劫匪木马。

xing.exe是一个winrar的自解压程序，运行后将各病毒模块解压到对应文件目录，完成病毒环境的快速部署，自解压程序包含如下注释：

添加恶意浏览器插件

HTTPS劫匪向多款浏览器添加恶意插件，其中包含劫持用户流量的恶意js脚本，插入的恶意插件信息如下：

虽然插件诸多，但是各个插件中用于劫持流量的恶意脚本类似，以谷歌浏览器为例，include.postload.js用于劫持流量，相关的代码逻辑，如下图所示：

当访问的请求是劫持列表中的网址时，会执行l.js，l.js会根据不同的网址添加不同的推广号，百度劫持规则如下：

Hao123,duba,hao360等常见导航站则被劫持为https[:]//www.2345.com/?k39627413,劫持规则如下：

利用kangle实现中间人劫持

HTTPS劫匪利用CertUtil.exe将ca11.cer添加到证书管理器的“受信任的根证书颁发机构”中：

释放在“C:\kl”目录下的Apache.msi是一个kangle- 3.1.8版本的web服务器，因为跨平台，功能强大，安全稳定，易操作等特点，被病毒作者所利用。利用“msiexec /i C:\kl\Apache.msi /qn”安装kangle服务器并启动，在本地访问https[:]//127.0.0.1可以看到如下所示的页面：

Kangle服务器启动后，C:\hos\h357.php开始工作，用带毒的hosts文件替换系统原始的hosts文件，利用hosts文件将用户流量重定向到127.0.0.1，相关代码如下：

病毒会将Kangle服务器etc目录下的config.xml进行替换，每次服务启动后会读取config.xml的内容进行https劫持，config.xml中关于劫持的规则如下：

脚本中执行的l.js与恶意插件使用的劫持脚本相同，但是调用的功能却更加丰富，最新的HTTPS劫匪木马采用浏览器恶意插件和kangle中间人劫持两种方式，将正常的流量交由l.js处理，下面就具体分析l.js的主要功能。

向优酷页面插入广告

病毒会劫持优酷视频v.youku.com，在页面中插入广告页面，相关劫持逻辑，如下图所示：