隨著近年來電子競(jìng)技游戲的流行，越來越多的用戶習(xí)慣于把業(yè)余時(shí)間交給這些“氪星殺手”。很多玩家渴望早期采用者，所以經(jīng)常在不同的下載渠道下載安裝游戲，但是在下載游戲的過程中并沒有注意到安全隱患。如果你經(jīng)歷過一次中毒的經(jīng)歷，相信每一分鐘都會(huì)讓你在以后的游戲生涯中聞到“毒”的味道。

自稱老將的小王今年15歲。因?yàn)樗麩釔垭娔X游戲，所以每個(gè)周末都會(huì)在繁忙的游戲時(shí)間擠出很少的時(shí)間學(xué)習(xí)，所以小王的游戲時(shí)間經(jīng)常由父母照顧。但是因?yàn)楹透改复蛄撕芏嗄暾?，他已?jīng)知道偷偷玩游戲后如何快速關(guān)機(jī)，幫助電腦屏幕快速降溫。最近一款長(zhǎng)期被廣為流傳的游戲《怪物獵人:世界》，點(diǎn)燃了他的體驗(yàn)欲。但在點(diǎn)擊安裝程序后，他發(fā)現(xiàn)自己的瀏覽器主頁、默認(rèn)搜索頁面、瀏覽器收藏夾等信息被惡意篡改。

那么問題來了，小王玩游戲的行為會(huì)被父母發(fā)現(xiàn)嗎？很明顯，答案是肯定的——畢竟如果你找不到瀏覽器主頁被修改過，那就只有可能是他父親一直沒打開過瀏覽器。

各種各樣的游戲已經(jīng)成為劫持木馬的藏身之處

電腦瀏覽器已經(jīng)成為受打擊最嚴(yán)重的領(lǐng)域

其實(shí)小王的經(jīng)歷也不是個(gè)案，源于最近流行的一種木馬劫持病毒。經(jīng)過360安全腦監(jiān)控追蹤，發(fā)現(xiàn)木馬傳播者重新包裝了《遠(yuǎn)哭5》、《怪物獵人:世界》、《需要速度20》、《魔鬼可能哭5》、《邊緣世界》等著名游戲。，并添加了木馬程序，然后通過Tiger Game Network(hxxp://DJ . Dian jiHu . com)傳播。經(jīng)過深入分析，發(fā)現(xiàn)該木馬具有劫持瀏覽器主頁和默認(rèn)搜索頁面、獲取瀏覽器歷史、篡改瀏覽器收藏夾、添加瀏覽器擴(kuò)展、修改瀏覽器Cookie等多種惡意行為。其主要執(zhí)行流程如下:

首先在游戲安裝完畢，用戶點(diǎn)擊桌面游戲快捷方式開始游戲后，會(huì)先請(qǐng)求hxxp://down.qm188 [。] com/yhlock.7z獲取一個(gè)AES加密的壓縮包文件yhlock.7z。壓縮后的包被AES解密后，解壓釋放demo.dll并加載其導(dǎo)出函數(shù)plugin_lock。相關(guān)代碼如下圖所示:

然后，調(diào)試并解密yhlock.7z成PE文件后:

文件加載到內(nèi)存后，會(huì)繼續(xù)從down . QM 188[]下載一個(gè)AES加密的壓縮包。解密解壓后會(huì)包含一個(gè)Lock.dll并加載執(zhí)行(PDB信息:D:瀏覽器相關(guān)的LockreleaseLock.pdb)。調(diào)試并將check.7z解密到PE文件中:

偷偷遠(yuǎn)離軟殺監(jiān)控，發(fā)動(dòng)魔術(shù)

山東、福建、四川的網(wǎng)友紛紛抱怨

值得一提的是，這個(gè)DLL文件封裝了市面上超過15種主流瀏覽器的劫持修改功能:

而demo.dll主要實(shí)施:

1.篡改瀏覽器收藏夾，默默替換收藏夾項(xiàng)目鏈接；

2.篡改瀏覽器Cookie

3.安裝瀏覽器擴(kuò)展(帶劫持功能)；

4.獲取瀏覽器歷史瀏覽記錄

5.鎖定瀏覽器主頁，包括:

www.hao123.com/? TN = 98625814 _郝_pg

daohang.qq.com.cn0d.qq.1230578.com/%d.html

123.sogou.com.cnsg.123.1234034.com/%d.html

www.2345.com.cn.2345.hao3603.com/%d.html

判斷殺軟件，修改IE瀏覽器首頁相關(guān)代碼

篡改瀏覽器中的cookie

將使用host _ key hao123.com修改cookie部分代碼

此外，鎖定的導(dǎo)航鏈接不是固定的。而是通過生成隨機(jī)數(shù)來拼接隨機(jī)導(dǎo)航鏈接地址，通過隨機(jī)數(shù)控制一定概率來選擇鎖定為主機(jī)和不同二級(jí)域名的鏈接。這可能是為了避免某些軟件查殺和瀏覽器監(jiān)控被篡改為同一個(gè)鏈接。相關(guān)代碼如下圖所示:

但受此木馬影響的主要用戶的地域分布似乎與其他木馬不一致，山東、福建、四川的網(wǎng)民成為主要受害者。

從劫持木馬的傳播案例中不難看出，隨著網(wǎng)絡(luò)空形勢(shì)的日益嚴(yán)峻，計(jì)算機(jī)病毒的傳播形式也越來越多樣化，時(shí)刻威脅著個(gè)人、企業(yè)乃至國(guó)家的安全。因此，我們特別提醒用戶采取以下防御措施:

1.盡快去weishi.#，下載安裝360安全衛(wèi)士，有效攔截各類病毒木馬病毒攻擊，保護(hù)計(jì)算機(jī)隱私和財(cái)產(chǎn)安全；

2.下載游戲時(shí)，盡量使用正規(guī)的下載渠道；

3.不要輕易添加信任或退出殺毒程序。

石英砂負(fù)載氧化鐵

SHA256:

58585 CCE 567 DD 95 e 1308 c 6b 1 D6 af 902 dcbf 99d 9 b 9826151588906 FCCC 69 F2 a 1d

abf 1790d 6519 FD 9637 C3 ab 82 f 22 f 545 f 05 e 35 bfb 66 e 37 d6a 1190356 b 83 a 74 c 0f

9 DAE 81 e 29 b 91d 7363369094 b 948 c 0f 217 B1 a 325d 74 B3 ca 4e 04 e 348 ee 7506 F9 f 9

統(tǒng)一資源定位器

down.qm188[。]com/check.7z

down.qm188[。]com/yhlock.7z

www.2345[。]com/？32772-0009

www.hao123[。]com/？tn=98625814_hao_pg

Dao hang . QQ . com . cn0d . QQ . 1230578[。]com/%d.html

123 .搜狗. com.cnsg.123.1234034[。]com/%d.html

www.2345.com.cn.2345.hao3603[。]com/%d.html

hao.#.com.360.1230578[。]com/%d.html

hao.#.com.360.hao3603[。]com/%d.html

BZ . dash 88[。]com/？柱狀上皮交界

yx.hao3603[。]com

bd.hao3603[。]com

tm.hao3603[。]com

CRX身份證

MHCAKMPDOIKFILADGIFT KLGMNNIOHN溫和新標(biāo)簽