本帖最后由 腾讯电脑管家 于 2019-11-12 17:42 编辑
一、概述近期,腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外{过}{滤}挂(游戏辅助工具)进行传播,这些外{过}{滤}挂包括:谨哥辅助、极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等。这些木马会劫持浏览器主页、进行广告推广。这些外{过}{滤}挂都会欺骗玩家称经过权威杀软检测0报毒,之后自动更新并根据配置文件的设置下载广告木马执行。
根据腾讯安图数据显示,木马服务器地址daohang1.oss-cn-beijing.aliyuncs.com在高峰时期,每天有近一万的访问量,日均4000的访问量。仅从瑾哥辅助一个辅助工具的站长统计数据看,平均每天访问机器数都超过1000。而类似瑾哥辅助用来传播广告木马的外{过}{滤}挂,共有20余款,该木马团伙已累计感染超过10万电脑。
传播态势如下:
谨哥辅助工具站长统计数据:
二、详细分析 该木马团伙包装的多个游戏外{过}{滤}挂(辅助工具)运行流程基本一致,运行后通过网络获取配置文件,根据配置文件下载多个木马执行,包括主页劫持木马、广告推广木马等等,此外还会升级自身,其工作流程如下:
获取配置文件&下载木马 联网获取配置文件,配置文件的内容主要是下一步要下载文件的地址、文件名、安装目录等信息。目前瑾哥辅助配置文件中下载文件包括LREDH.exe(木马文件,主要作用是进行主页劫持), TheWorld.exe(浏览器进程),安装路径为当前目录的 Tim文件夹
瑾哥辅助&极品辅助配置文件下载地址: hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd hxxp://dh.3ayl.cn/jp/jp.jd 瑾哥辅助配置文件内容:
极品辅助配置文件内容包括自更新地址、主页劫持木马、广告推广木马等配置:
根据配置文件中的下载地址下载主页劫持木马,安装在外{过}{滤}挂程序当前目录(Tim文件夹下),主页劫持木马下载地址: hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe
主页劫持主页劫持的套路和常见的主页劫持有点不一样, 常见的主页劫持一般都是通过注册进程创建回调,或者挂钩进程创建相关函数,在浏览器进程启动时进行命令行篡改。而该木马的劫持过程如下:遍历桌面,快速启动栏等文件目录下的浏览器快捷方式,将浏览器快捷方式目标篡改指向主页劫持木马LREDH.exe,LREDH.exe再启动浏览器进程根据配置文件里的导航网址进行篡改。 遍历快捷方式后缀lnk,如果是浏览器进程快捷方式则进行篡改:
篡改浏览器快捷方式
劫持导航网址配置:
传播渠道腾讯安全御见威胁情报中心数据显示,该木马主要通过热门游戏辅助网站进行传播,除了谨哥系列辅助,还包括:极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等超过20款。该木马团伙根据不同的辅助工具匹配不同的劫持导航id(该ID主要用来做流量统计计费)。如瑾哥辅助对应的id为jinge.html,jinge-xw 等。
谨哥系列辅助网站:
三、安全建议1.游戏外{过}{滤}挂、辅助工具一直都是各种病毒木马传播的温床,个人用户谨慎使用。
2.使用杀毒软件拦截病毒木马劫持浏览器,不要轻信外{过}{滤}挂网站要求关闭杀毒软件再运行的谎话。腾讯电脑管家、腾讯御点终端安全管理系统均可拦截查杀该病毒。
IOC:MD5: d85105726e0321f00fbcc4917c32d97c fe852d90aa84091a1d8d9eabe953c14a f32ca081e51f85a1f8fbeaa13d4dd059 fbdd60adddb2dfab641e7335e4ecc0cb fd3dbcdd366d8fa1505c90b65a6a2f29
Url: hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd hxxp://dh.3ayl.cn/jp/jp.jd hxxp://dh.3ayl.cn/jp/shellEx.fne
DNS: daohang1.oss-cn-beijing.aliyuncs.com dh.3ayl.cn bbyz.oss-cn-shanghai.aliyuncs.com hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe
|