关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城积分兑换

360安全大脑监控到一类通过下载器进行推广,以劫持浏览器主页,推广软件,流氓快捷方式,广告弹窗等方式进行牟利的病毒木马,我们将此类木马命名为“疯花”木马。



该木马是典型的云控木马,所有模块均以云端控制,内存加载的方式执行,通过Process Hollowing的注入方式绕过安全软件检测。通过GetSystemMetrics()实现了一个应用层的关机回调,并在关机回调中回写木马文件和注册表,绕过部分杀软的主动防御功能。疯花木马整体病毒流程如下图:



360社区

360社区



当携带木马的下载器被运行后,会将疯花木马的主控模块注入到svchost.exe进程中执行,主要包含两个病毒线程,一个通过云控加载劫持模块,另一个注册关机回调,回写病毒文件和注册表项:



360社区

360社区



通过云控下载执行相应的恶意组件,云控的配置跟下载的组件均经过加密存储,下图是下载云控配置并进行解析的代码片段:



360社区

360社区



解密后的云控配置如下:



360社区

360社区



通过GetSystemMetrics实现应用层关机回调,并在关机回调时回写病毒文件和注册表:



360社区

360社区



通过篡改SENS服务ServiceDll路径实现病毒自启动:



360社区

360社区



此外还会修改

PendingFileRenameOperations:



360社区

360社区



自启动模块会检查进程名跟命令行是否为sens服务,若不是则不会执行病毒逻辑,反之则会通过进程hollowing的方式启动主控模块:



360社区

360社区



主控以同样的方式启动盈利模块,盈利模块包含篡改浏览器主页,推广软件,流氓快捷方式等进行牟利,配置文件中包含一些对于环境的判断条件,如fbarea字段存在,会检测北京,上海,广州,深圳等一线城市,并绕过。劫持浏览器主页的配置如下:



360社区

360社区



劫持的浏览器列表如下:



360社区

360社区



劫持后的主页最终跳转到如下页面:



360社区

360社区



快捷方式和推广软件的部分配置文件如下:



360社区

360社区





安全建议



减少下载器,盗版软件的使用,尽量去软件官网下载使用。

定时对系统进行木马查杀,保证系统安全。



360安全卫士已支持查杀该木马,广大用户可前往weishi.360.cn下载使用:



360社区

360社区










01

MD5



226037df29daa7a40b9fb3a3ee56c3c4



02

URL



http[:]//plg.xw-wd.com/PopNews.dat

http[:]//ver.wengmingjunylawyerfc.com/Version.ini

http[:]//core.sda-bocconi.com:80/Hsvt.dat

http[:]//cfg.wtlswd.com/Config.ini

http[:]//core.sda-bocconi.com:80/Hds.dat


来源   360安全卫士

共 0 个关于疯花木马劫持浏览器主页,360安全卫士强力查杀的回复 最后回复于 2021-4-2 19:45

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:176 关注:13 积分:180169

精华:307 金币:189943 经验:145884

最后登录时间:2021-4-23

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

商城活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表