欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“灵隐”木马黑吃灰:绑架数十款游戏外挂实现恶意推广

来源:本站整理 作者:佚名 时间:2017-08-11 TAG: 我要投稿

今年6月,360安全卫士对“灵隐”木马做了预警。最近一段时间,这伙木马又开始活跃,我们也接到不少网友反馈称受到木马干扰,浏览器被篡改,部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。
传播:
此类木马传播,仍然是通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。通过分析传播者的文件列表可以看到作者打包了几十款外挂用来传播这一木马:

有近400多个文件分享记录:

安装:
木马在安装过程中,会检测是否有360杀毒,360安全卫士等安全软件 运行,如果有则木马不进行安装。
 这也是木马需要通过外挂打包传播的一个原因,使用外挂时,用户可能会关闭杀毒软件,给木马可乘之机!

当关闭杀软之后,这个外挂开始下载木马到本地执行j[.]92dz.win:8080/bag/jc_102.zip

分析时捕获的下载木马:

木马释放一对DLL劫持程序

通过注册Installed Components实现开机自启动:

之后木马启动svchost.exe并挂起(如果安装有360会试图启动360DeskAna.exe并注入)

将恶意代码写入到svchost.exe内存中并恢复进程



危害:
1.  劫持浏览器,篡改浏览器快捷方式
木马会篡改数十款浏览器的快捷方式,添加导航。

向任务栏锁定快捷方式

2.删除系统中安装的某些软件。
木马会通过注册表查找ADSafe安装目录,如果发现则结束ADSafe.exe和ADSafeSvc.exe进程,并删除整个ADSafe安装目录(猜测是防止ADSafe影响其推广的导航收入)


3.进行软件推广
木马会常驻系统,并定时访问云控列表,将加密的列表下载到%Temp%\data.tmp文件中

解密后可以看到其推广列表:

其中,开头部分的页面为推广导航页,用于修改浏览器首页

后半部分内容为推广软件列表,可以进行云控推广。
4.进行木马更新并与防护软件对抗

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载