360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器知名游戏成劫持木马新宿主,360安全大脑第一时间全线截杀
- 2019-10-14 19:51:12
近日,360安全大脑监测到有游戏下载网站打着《怪物猎人:世界》等多款知名游戏旗号进行传播劫持木马。经分析,该木马具备劫持浏览器主页及默认搜索页、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等恶意行为。经过溯源发现:木马传播者对《孤岛惊魂5》、《怪物猎人:世界》、《极品飞车20》、《鬼泣5》、《边缘世界》等知名游戏进行二次打包并加入木马程序,然后通过游虎游戏网(hxxp://dj.dianjinghu.com)进行传播。近期在游虎游戏网站中下载过单机游戏的用户请尽快使用杀软进行查杀。
过程分析:
主要执行流程如下:
游戏安装完用户点击桌面游戏快捷方式开始游戏后后首先会请求hxxp://down.qm188[.]com/yhlock.7z得到了一个采用AES加密的压缩包文件yhlock.7z, 该压缩包经过AES解密后,解压释放出demo.dll并加载其导出函数plugin_lock():相关代码如下图所示:
调试解密yhlock.7z成PE文件如下图所示:
该文件内存中加载后会继续从hxxp://down.qm188[.]com/check.7z下载一个同样使用AES加密的压缩包,解密解压缩后包含一个Lock.dll并加载执行(PDB信息:d:\浏览器相关\Lock\release\Lock.pdb):调试解密check.7z成PE文件如下图所示:
该DLL文件封装了针对市面上超过15款主流浏览器的劫持修改函数:
而demo.dll则主要执行:
1、篡改浏览器收藏夹,静默替换收藏项链接;
2、篡改浏览器Cookie
3、安装浏览器扩展(具备劫持功能);
4、获取浏览器历史浏览记录
5、锁定浏览器主页有:
https://www.hao123.com/?tn=98625814_hao_pg
http://daohang.qq.com.cn0d.qq.1230578.com/%d.html
http://123.sogou.com.cnsg.123.1234034.com/%d.html
http://www.2345.com.cn.2345.hao3603.com/%d.html
判断杀软,修改IE浏览器的主页;相关代码如下图所示:
篡改浏览器的cookie,会修改host_key为.hao123.com的cookie部分代码如下图所示:
另外锁定的导航链接并不是唯一的,会通过生成随机数来拼接出随机的导航链接地址,并通过随机数控制一定机率来选择锁定为host和不同二级域名的链接,猜测是为了躲避对抗某些杀软和浏览器对被篡改为同一链接的监控;相关代码如下图所示:
该劫持木马受影响用户区域分布图,似乎和一般其它木马分布不太一致,山东、福建、四川的网友受影响最多:
360安全大脑建议:
1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;
2、在下载游戏时,尽量使用正规下载渠道;
3、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行。
IOCs
SHA256:
58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d
abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f
9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9
URL
hxxp://down.qm188[.]com/check.7z
hxxp://down.qm188[.]com/yhlock.7z
hxxps://www.2345[.]com/?32772-0009
hxxps://www.hao123[.]com/?tn=98625814_hao_pg
hxxp://daohang.qq.com.cn0d.qq.1230578[.]com/%d.html
hxxp://123.sogou.com.cnsg.123.1234034[.]com/%d.html
hxxp://www.2345.com.cn.2345.hao3603[.]com/%d.html
hxxp://hao.360.cn.com.360.1230578[.]com/%d.html
hxxp://hao.360.cn.com.360.hao3603[.]com/%d.html
hxxps://bz.dashi88[.]com/?scj
hxxp://yx.hao3603[.]com
hxxp://bd.hao3603[.]com
hxxp://tm.hao3603[.]com
CRX ID
mhcakmpdiokfhiladgifhfklgmnniohn 轻度新标签页
京公网安备 11000002000006号