拨开重重"黑雾"，撕碎地下僵尸网络！

近日，360安全大脑监测到“黑雾”僵尸网络出现流量异常，该僵尸网络于2016年7月首次出现，集流量劫持，盗号，暗刷，QQ引流等多种恶意行为于一体，旧版本主要通过钱蜜省钱助手下载传播，本次攻击中“黑雾”一改往日传播渠道，转而通过“橙子桌面”等流氓软件利用多特下载站进行感染扩散，目前中招机器达一万多台。

360安全大脑经过对比关联样本追踪溯源发现，从该网站下载的安装程序是经过二次打包的NSIS安装包，其中除了原版的安装程序外，还被植入了推广程序steup@weixin.exe：

steup@weixin.exe随安装程序而运行，运行之后会向http[:]//download.xp666.com/dtazq/data_cfg请求一份推广列表，其中推广的“橙子桌面”就是“黑雾”的新变种：

在这里，我们同时发现“橙子桌面”的官方网站：

橙子桌面安装以后的主程序czzm.exe携带“Shanghai Youbu Network Technology Co., Ltd.”有效数字签名：

360安全大脑分析发现，若该主程序czzm.exe中的启动参数为“/from=cz_azb”，便会下载checkupdate.7z，执行与钱蜜省钱助手主程序中相同的病毒逻辑：

在该病毒逻辑下，执行解密解压缩出demo.dll并加载其导出函数plugin_lock():

demo.dll有两个功能，一是下载执行Lock.dll。新旧版本的Lock.dll在功能上并无太大变化，主要还是劫持主页，篡改收藏夹，添加浏览器插件等功能。Lock.dll的导出表如下：

demo.dll的第二个功能是下载执行Install*Svc.exe模块，该模块运行后会在%temp%目录下释放病毒文件*Svc.exe并将其注册为系统服务，*Svc.exe可通过请求不同的云控配置来执行不同的病毒逻辑，相关的配置及其对应的功能如下表：

不过广大用户不必担心，目前360安全大脑已全面拦截“黑雾”僵尸网络的入侵，建议广大用户及时前往weishi.360.cn，下载安装360安全卫士保护电脑隐私及财产安全。

此外，为避免“黑雾”僵尸网络的攻击感染态势进一步扩大，360安全大脑提出了以下安全建议：
  1、对于安全软件提示风险的程序，切勿轻易添加信任或退出杀软运行；

  2、发现电脑异常时，及时使用360安全卫士进行体检扫描，查杀病毒木马；

  3、切记要设置高强度密码，使用大小写字母、数字、特殊符号组合方式，防止黑客破解；

  4、开启360安全卫士“网页安全防护”功能，辨别各类虚假诈骗网页，拦截钓鱼网站、危险链接，保障计算机信息安全。

  5、使用360软件管家下载软件，360软件管家收录万款正版软件，经过360安全大脑白名单检测，下载、安装、升级，更安全。

来源 360官网