查看: 2363|回复: 6
收起左侧

[技术原创] 激活工具购买搜索排名 传播“麻辣香锅”变种病毒 火绒已拦截

[复制链接]
火绒工程师
发表于 2021-7-23 18:46:48 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2021-7-23 19:01 编辑

作为“灰色软件”,激活工具一直就是网络病毒滋生和传播的一大渠道,甚至一些病毒披着激活工具的外衣,不仅干着损坏用户利益的行为,还嚣张的与安全软件做对抗,并不断升级对抗手段。

就在近日,火绒监测到了一批隐匿在“激活工具”里的“麻辣香锅”病毒变种。和以往不同的是,该版本的病毒除了劫持用户流量以外,还会劫持安全厂商提供的专杀工具的下载地址(如火绒的专杀工具),从而能够长久驻留用户电脑中。


火绒查杀图

目前,火绒已对该版本的“麻辣香锅”病毒以及病毒利用传播的激活工具进行拦截和查杀。已感染该病毒的用户,可以下载火绒专杀工具清除病毒,同时配合火绒【全盘扫描】功能彻底查杀该病毒。(专杀下载地址: https://bbs.huorong.cn/thread-18575-1-1.html

一、病毒溯源
火绒工程师对此次版本“麻辣香锅”病毒进行详细分析:

恶意代码执行流程,如下图所示:


恶意代码执行流程


病毒驱动主要逻辑,如下图所示:


病毒驱动主要逻辑

病毒执行的具体行为过程:
首先,上述激活工具启动后,会检测杀软进程,诱导用户退出杀软。如下图所示:



检测杀软进程,诱导用户退出杀软

被检测的安全软件,如下图所示:



被检测的安全软件

紧接着,当用户在退出杀软,并成功安装激活工具的情况下,病毒同时也被激活,释放 bf.exe。
被bf.exe释放的文件及用途,如下图所示:



被bf.exe释放的文件

最后,病毒将会执行以下几个恶意行为:
(1)流量劫持
该病毒会根据劫持规则,劫持相关网站,具体过程如下:
病毒驱动会将恶意代码注入到svchost.exe进程中,之后病毒驱动会将网络流量数据发送到被注入的svchost.exe进程,由恶意代码判断网络流量数据和进程名称是否满足劫持条件。只有进程和网络流量数据同时满足劫持条件时,才会执行劫持逻辑。被注入进程与病毒驱动设备情况,如下图所示:






注入恶意代码到svchost.exe进程中


病毒驱动劫持流量代码,如下图所示:



劫持流量代码

病毒驱动把获取到的网络流量数据发送到“svchost.exe”,让其判断是否劫持用户流量数据,如下图所示:



检测用户流量数据

根据正则匹配劫持的网址格式,如下图所示:


劫持的网址格式

规则匹配成功后会篡改用户流量数据,比如下载火绒专杀工具会被篡改成跳转到火绒官网,如下图所示:


篡改用户流量数据相关代码


篡改用户流量数据

(2)劫持浏览器启动参数
病毒驱动的进程启动回调一旦检测到有浏览器进程启动,就会对其注入恶意代码,劫持浏览器首页。受该病毒影响的浏览器进程,如下图所示:


受该病毒影响的浏览器进程

注入恶意代码劫持浏览器启动参数,相关进程钩子情况,如下图所示:


注入恶意代码劫持浏览器启动参数

(3)篡改浏览器配置
该病毒会释放各类浏览器配置文件,篡改浏览器收藏夹,如下图所示:


被篡改的浏览器收藏夹情况


受到此恶意行为影响的浏览器,如下图所示:


受影响的浏览器

总的来说,此次激活工具携带的“麻辣香锅”病毒,将会给用户带来以下这样几个危害后果:
其一:诱惑用户退出杀软,影响用户的正常网络安全。
其二:劫持流量,会拖慢用户计算机的网络访问速度。
其三:病毒在用户浏览器收藏夹中添加自己的推广网址。
其四:病毒劫持安全厂商的专杀下载地址,持续存在于受害者设备上,长期影响用户终端的信息安全。

二、激活工具溯源
火绒工程师又对传播上述激活工具网站进行溯源,发现该网站提供多个激活工具的下载,经分析后发现均携带文中提及的“麻辣香锅”病毒。并且,在该网站首页显眼位置,就有提示用户退出安全软件的提示和关闭防护的教程;而在网站底部,则有各类安全检测证明的标识。



而更讽刺的是,该网站还在搜索引擎上购买排名,引导用户下载带毒的激活工具。在搜索“激活工具”“系统激活”等关键词时,均可以在首页首条发现其推广信息。而根据“火绒威胁情报系统”监测,已有数万用户通过该网站的激活工具,感染“麻辣香锅”病毒。


购买搜索排名

目前,火绒已对该网站进行拦截。


实际上,利用激活工具传播病毒或捆绑流氓软件,攫取、损坏用户的利益,已经成为当下成熟的灰色产业,火绒也一直在对此类散播病毒的渠道进行披露曝光,并及时升级查杀拦截规则,帮助用户避免遭遇病毒侵害。在此,我们也提醒广大网友,尽量不要使用激活工具等灰色软件,切勿在没有安装安全软件情况下点击不明来源的软件,如果有任何问题,可随时寻求火绒工程师的帮助。

三、病毒hash





四、补充阅读链接

(1)激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件
https://www.huorong.cn/safe/1589959298477.html

(2)一文揭露各类劫持浏览器主页手段 附火绒修复方式
https://www.huorong.cn/info/1606367590557.html












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huajiajie
发表于 2021-7-23 19:06:17 | 显示全部楼层
发到病毒区更好吧
yaoyunjia
发表于 2021-7-23 19:45:19 | 显示全部楼层
huajiajie 发表于 2021-7-23 19:06
发到病毒区更好吧

没发样本,发这也没事吧
zay365
头像被屏蔽
发表于 2021-7-23 20:23:34 | 显示全部楼层
SHA256
cfe645c71803d3c8c9d616ec742b3b8542cab7947487d3f78ebdfac9229fec5d
2de1b4247431d5ae96aa6083697c2f97a51ee792d019a4644edb6eae5b0686f1
f11409f2d791c85b21811c7fd0d42d2593bd6caa161994a21c205f72f62c565c
248b190f761dc8f13ccd390529fa6d26fe0da38b715fd40d91da2594f1405984
觉醒者
发表于 2021-7-24 10:06:42 | 显示全部楼层
作为一名小白,我想弱弱的问一句啊,哪个激活工具相对安全的,求分享
沧海一声
发表于 2021-7-24 11:42:56 | 显示全部楼层
觉醒者 发表于 2021-7-24 10:06
作为一名小白,我想弱弱的问一句啊,哪个激活工具相对安全的,求分享

参考论坛的https://bbs.kafan.cn/thread-2193445-1-1.html
psllll
发表于 2021-7-24 12:12:53 | 显示全部楼层
觉醒者 发表于 2021-7-24 10:06
作为一名小白,我想弱弱的问一句啊,哪个激活工具相对安全的,求分享

最安全的肯定是cmd手敲命令激活了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:19 , Processed in 0.115934 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表