老康的学习空间劫持浏览器、刷取流量等行为是流氓软件常见行为,不过最近浏览器劫持暗刷流量灰色产业链成病毒传播最大渠道,浏览器劫持病毒恶意代码注入劫持浏览器启动参数和释放加载corp.dll(用于进行流量暗刷的病毒模块)即会修改浏览器进程的启动参数捆绑劫持浏览器主页,且用户无法自行更改,给病毒影响了国内绝大多数浏览器,如系统资源管理器,E浏览器,Chrome 浏览器,火狐浏览器,360浏览器,UC浏览器,360极速浏览器,QQ浏览器,2345浏览器,搜狗浏览器,邀游浏览器,YY 浏览器,百度浏览器·,世界浏览器,15浏览器,净网大师浏览器,桔子浏览器,猎豹浏览器等等毫无例外的全部中招,而随着安全厂商持续打击、普通用户的安全意识提升,让病毒团伙、流氓软件厂商的获利空间被逐渐压缩。病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。监测发现,万能压缩、万能看图、Clover等多款软件正在静默推广后门程序“眼睛的守护神”,截至到目前,已有几十万用户被捆绑安装该后门程序。该后门程序被捆绑安装至用户电脑后,会通过远程服务器下载病毒 ,并静默推广鲁大师手机模拟大师等其它多款软件。通过查验签名得知,“眼睛守护神”的数字签名与其下发的病毒签名相同,或系同一家病毒软件厂商“上海嵩恒网络科技股份有限公司”所为。
用户下载上述软件后,该后门程序即会进入电脑并暗自安装,安装过程中不会出现任何提示,且安装完成后也不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。
安装完毕后,后门程序会通过远程服务器在后台悄悄下载病毒到本地执行。病毒可以劫持用户浏览器首页、暗刷流量,甚至会令安全软件部分防御功能失效。该病毒更加流氓之处在于,将用来刷取流量的页面广告内容全部设置为不可见,病毒在暗刷流量时用户完全无法察觉。此外,该后门程序还会静默推广鲁大师手机模拟大师等其它多款软件。
值得注意的是,万能压缩等系列软件下载量较大,其推广行为也较为疯狂(2018年双十一期间,火绒就这些软件的流氓推广进行跟踪分析,详情见报告《”双十一”成流氓软件爆发高峰 日均侵权推广1.7亿次》),目前已经造成病毒在短时间内大量传播的影响和危害。火绒工程师提醒广大用户小心防范,如果下载过上述软件,请尽快使用安全软件进行排查。
万能系列软件暗藏浏览器劫持后门
近期发现一款名为眼睛守护神的软件正在广泛传播,该软件实为伪装成正常软件的后门程序。该后门程序会通过C&C服务器配置下载执行的病毒会进行首页劫持、暗刷流量,甚至会使安全软件部分防御功能失效(通过移除正常软件内核回调的方式),除下载执行病毒文件外,该后门程序还会静默推广包括鲁大师手机模拟大师在内的多款软件。通过溯源分析,我们发现该后门程序会通过万能压缩、万能看图、Clover等多款软件以静默推广的方式进行传播,同时该病毒还会推广诸如鲁大师手机模拟大师、随心压缩、风行视频加速器、全能笔记本、桌面动态天气等。
眼睛守护神安装程序为7z自解压包,安装过程中不会出现任何安装提示,且安装完成后不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。
正规下载渠道成病毒传播的乐园
此浏览器劫持病毒主要由万能五笔输入法、万能压缩、万能看图以及万能浏览器的软件开发商上海嵩恒网络科技股份有限公司为主力的传播,分析表明无论是眼睛守护神后门程序还是加载的病毒,全部都包含相同的正规的企业数字签名。这个签名属于南京星洪科技有限公司,不过为了赚钱打着正规公司的旗号实则做着偷鸡摸狗刷流量的事情也很正常,浏览器劫持病毒影响的软件多达数款,如系统资源管理器,E浏览器,Chrome 浏览器,火狐浏览器,360浏览器,UC浏览器,360极速浏览器,QQ浏览器,2345浏览器,搜狗浏览器,邀游浏览器,YY 浏览器,百度浏览器·,世界浏览器,15浏览器,净网大师浏览器,桔子浏览器,猎豹浏览器等等几乎包含了国内所有的主流浏览器,可谓是触目惊心啊。
病毒驱动主要功能分为两个部分,将恶意代码注入到指定进程、删除其他驱动注册的回调函数。该病毒驱动加载后,首先会初始化注入相关的数据,包括需要注入的恶意代码数据、系统版本等。有意思的是,该病毒为了提高自身的隐蔽性,病毒安装后的前60天与大于60天后注入的恶意代码内容不是相同的。前60天仅会通过C&C服务器中搭建的跳转页面劫持推广计费名,并不会改变最终的访问地址;60天之后,只要是指定的浏览器进程启动,都会将启动参数劫持为带有其自身推广计费名的2345导航链接。
除此之外,病毒驱动还会创建内核线程删除其他软件进程回调和模块加载回调。首先,病毒代码会获取需要放过的驱动模块基址和模块范围(相当于白名单)。之后在PsSetCreateProcessNotifyRoutine函数二进制代码中找到进程回调函数队列,将除白名单以外的所有进程回调移除。有意思的是,除系统驱动程序和病毒自身外,相关病毒代码中仅会排除360安全卫士名为“360FsFlt.sys”和“hookport.sys”的驱动程序。
