这年头病毒木马都有“证书”了，目前已劫持上千个网址

一：木马概述
近日，360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马，我们将其命名为“NpfIkms”木马。分析后发现，“NpfIkms”主要是一种系统激活类恶意软件释放，以劫持用户浏览器流量牟利为目的。但“NpfIkms”跟其他"流量劫持"类木马不同的是，该木马在劫持流量同时还会阻断安全软件联网，导致安全软件无法正常的查杀和升级。分析显示，目前"360安全中心"已率先拦截查杀“NpfIkms”木马。
二：木马分析
根据360安全专家的分析结果，该木马会禁止安全软件联网以防止自身被查杀，并且还会篡改系统根证书，以此劫持各种返利网站流量来获取回报。“NpfIkms”木马会伪装在系统激活器中，运行后该木马释放ikms.dll文件并注册服务启动，这个DLL是宿主程序，运行后会创建两个线程，进行内存加载运行核心木马功能IMain.dll（调用导出函数：dowork）和盗版激活程序KmsCore.dll。

IMain.dll内存加载执行后会进行一系列木马功能的操作，还会进行内存加载白利用AdguardNetLib.dll并加载Adguard驱动，劫持功能详情如下：木马通过云端更新劫持配置，目前已劫持1010个网址，其中包括各种导航站（hao123、2345、sogou等）、购物网站（taobao、JD、dangdang、vip、amazon、vmall等）、下载站（QQ浏览器等）等，劫持后木马将推广ID修改成自己的推广ID，来获取返利回报，只要有流量推广，都会成为木马的劫持目标。

木马通过URL字符串特征对安全软件的云查杀功能进行拦截通信，阻止自身被安全软件查杀。

木马还对列表中的指定进程禁止联网，来阻止安全软件更新和查杀。

木马为了可以劫持SSL加密的https网站，向系统导入虚假的根证书，这样就可以实现中间人劫持替换SSL加密的网站内容和请求。

添加本地虚假根证书后，使用浏览器访问被劫持的hao123页面，可以看到hao123的根证书已经被篡改，并且不会出现证书异常提醒，危害巨大。

木马之所以有这么完善的网络过滤拦截功能，完全“归功”于广告拦截软件AdGuard，AdGuard使用驱动对网络流量进行过滤清洗，来阻止流量中的广告，由于AdGuard自身驱动未校验调用者合法性，而产生的漏洞，导致任何程序都可以对其发送拦截替换等指令，木马恰恰抓住这个机会，进行滥用。

三：360安全提醒
各类系统激活类工具一直以来都是导航站、电商站劫持木马的主要传播途径，建议网友在使用激活类工具时候，尤其要注意以下几点：
1、建议网友尽量使用原版本操作系统，安装操作系统需要使用正规渠道。
2、如果一定要使用激活工具，使用下载前应先使用各类安全软件扫描，确保软件安全。
3、最后安装一款靠谱的安全软件将事半功倍，360安全卫士可以拦截各类激活类木马运行，拦截流量劫持驱动加载。