欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

鑫哥木马劫持超60家网吧及9所大学的电脑

来源:本站整理 作者:佚名 时间:2019-01-26 TAG: 我要投稿

近期360互联网安全中心监测到一款网络劫持木马在众多网吧及大学的机房中大范围传播。该木马在2018年9月开始在国内传播,会利用篡改网络设置、劫持客户端网络数据、监控QQ聊天等方式窃取用户的隐私。
通过进一步追溯分析发现:在被攻击的网吧或学校机房环境中,均使用的一款名为 “锐起无盘系统(去广告版本)”的软件。而正是该软件被利用,向用户电脑中植入带有劫持功能的“鑫哥木马”。根据我们掌握的数据统计,至少有60家网吧及9所大学受到影响,被劫持的网站列表超过9000个,同时还会获取用户QQ号及聊天记录文件等信息。木马最终通过劫持网站、跳转导航、游戏退弹等方式来牟取暴利。
木马分析
通过这个去广告版的无盘系统,会下发一个名为AD_xxxxxx_UID.exe的木马:

木马文件信息
木马通过篡改DNS及Hosts的形式实现网络劫持,其运行关系如下:

执行流程简图

游戏菜单界面图
安装过程
“锐起”服务端程序释放相关文件后,则会更新到客户机的客户端程序中执行,导致整个无盘网络系统的机器全部中招,客户端的游戏菜单程序启动后会读取MenuScreenConfig.xml文件中配置的Autorun启动项自动执行,启动顺序如下:TopTen\menu.datà RichtechGameTool.exeà Programlog.exeàAD_xxxxxx_UID.exe,最终执行木马程序。

配置文件中的AutoRun项
为了达到掩人耳目的目的,木马程序还将自身复制到腾讯TGP、Adobe等常见游戏软件的目录下执行:

复制木马程序到Adobe、TGP目录代码片断
劫持网站
最终执行的木马会根据云端数据在本地生成一个脚本“Tencent.vbs”,运行该脚本后,会通过篡改DNS及Hosts文件来实现劫持。同时,木马还会回传用户信息至云端服务器数据库,回传的信息包括:机器名、MAC地址、内网IP、外网IP等。

木马从云端数据库中获取要劫持的内容
劫持后的落地页面,则会根据对应的UID来请求服务端数据库中对应的展示内容。如果该步骤的获取出错,则跳转到带有渠道号(k1828680)的2345导航页面。其所展示的页面中,甚至会用代码在浏览器控制台中打出“人工智能是其发展的核心技术”之类的字样:

浏览器控制台中显示的文字

网页代码中的控制台输出代码
记录QQ信息
木马还会记录机器上登录QQ的信息,具体信息包括:IP地址、机器名、登录时间、下线时间、QQ号、QQ聊天记录文件、记录时间等。

木马记录QQ信息
木马后台数据
根据我们获取到的其后台统计数据,可以看到累计有7.5万台电脑被劫持,这些电脑上报了数据约220万条(截止2019年1月16日):

回传信息数据库

部分受影响网吧及学校信息
通过对数据库中的IP进行的统计,发现其中广东的IP占比高达45.02%,其后则是湖南6.78%、吉林4.98%、河南4.8%、广西4.52%。具体分布情况如下图所示:

感染设备所在地区分布图
溯源信息
根据对数据库中信息的分析,我们发现该木马团伙使用了一种多级代理模式在扩散木马,而存放劫持页面的域名,均以“镇江**网络科技有限公司”的名义进行了备案:

数据库中的代理人信息

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载