中文版 Global
首页 > 安全资讯 > 正文

寒光病毒劫持用户主页,360安全大脑率先截杀

  • 2019-05-20 17:21:46

近期,360安全大脑检测到大量携带“寒光”病毒的激活工具在外网传播,感染用户机器后会释放病毒驱动劫持用户的浏览器首页,以此牟取利益。除此之外,该病毒还会通过注册minifilter,映像加载回调等方式,对抗各种安全组件的加载,提高病毒的存活率和检出难度。“寒光”病毒的传播趋势,如下图所示:

                                             

技术分析

用户在运行带毒的暴风激活工具v17.0后,会激活其携带的病毒代码,在%temp%目录下释放一个Delphi语言编写的下载者木马,该木马会通过http[:]//down.2win10.com/1.0.0.1/FileSafe_auto.exe下载FileSafe_auto.exe执行。

FileSafe_auto会根据系统版本释放并加载资源中携带的病毒驱动和动态库。FileSafe_auto.exe资源信息如下:

病毒动态库

释放的病毒动态库为mhlpcom32.dll,通过360安全大脑样本追溯,该病毒样本于2017年开始传播,新旧版本都携带“Xiamen Yitianxia Network Technology Co., Ltd”数字签名,不过新版的数字签名已过期,且与旧版数字签名的颁发者也不同,由此我们猜测新版的数字签名可能是病毒作者伪造的。新旧版本的数字签名对比如下:

经过对比新旧版本的代码逻辑,发现二者并无太大变化。在旧版本病毒样本的调试信息中,我们可以看到病毒作者将该项目命名为驱动锁首页,而动态库则是通过挂钩CreateProcess函数达到劫持浏览器首页的目的。新旧版本的调试信息对比如下:

虽然该病毒与2017年就已开始传播,但是在VirusTotal上,只有360一家厂商能查杀此病毒:

驱动分析

FileSafe_auto.exe释放病毒驱动并将其注册为系统服务,然后启动服务,加载病毒驱动,相关代码逻辑如下:

病毒驱动通过注册minifilter,阻止浏览器进程和安全软件读取相关的安全组件,以此破坏安全组件的正常加载:

被阻止的安全组件列表如下:

注册映像加载回调,在iexplorer.exe进程加载相关的安全模块时,判断MHLPCOM32.dll文件是否存在,若存在则会将安全模块的入口点位置代码进行破坏,以保护MHLPCOM32.dll病毒逻辑能正常执行。破坏入口点的相关逻辑如下:

创建进程回调与创建线程回调功能类似,都是通过改变进程环境块(PEB)中的命令行参数实现浏览器主页劫持:

劫持的网址最终会跳转到带有病毒作者推广号的导航页面,病毒作者也以此牟利:

安全建议

(1)       各类激活工具和破解软件是病毒传播的绝佳途径,由于网上流传的激活工具来源甚广,安全性都无法保证,很容易就感染病毒,所以360安全大脑建议各位用户不要使用此类工具,以免受到病毒感染。

(2)       360安全卫士支持查杀“寒光”病毒,中毒的用户请前往weishi.360.cn下载查杀。

360安全卫士

热点排行

用户
反馈 返回
顶部