欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“锁大师”劫持主页后台悄悄刷流量,涉及影响上百万的用户

来源:本站整理 作者:佚名 时间:2017-10-10 TAG: 我要投稿

克日,金山毒霸平安实验室监控到一款名为“锁巨匠”的地痞软件,该软件已开端大规模强迫挟制用户浏览器主页,暗刷流量。 “锁巨匠”重要经由过程软件下载器为载体停止流传装置,预估受影响的用户量在百万级别。

图:“锁巨匠”以下载器为载体停止流传

图:”锁巨匠”下载地点
1、 “锁巨匠” 可谓一个Rootkit木马隐蔽性较高
它会经由过程创立文件过滤,将本身重定向到微软的文件上(ntkemgr.sys[歹意驱动]->重定向->partmgr.sys[微软失常驱动]),这样一来肉眼看则是失常文件,歹意驱动本身不会被发现。


图:文件重定向后

图:文件过滤
2、 “锁巨匠”应用KeUserModeCallback 注入Ring3并拔出shellcode 停止PE文件的加载


3、“锁巨匠”歹意模块挟制用户浏览器主页

4、“锁巨匠”除挟制主页外还会歹意暗刷告白

今朝,金山毒霸平安中间曾经针对“锁巨匠”家属的地痞软件增强了消除和进攻步伐,可应用金山毒霸有用检出和清算“锁巨匠”歹意软件,并能够拦阻其针对支流浏览器的歹意窜改。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载