近日,360安全大腦監測到有遊戲下載網站打著《怪物獵人:世界》等多款知名遊戲旗號進行傳播劫持木馬。經分析,該木馬具備劫持瀏覽器主頁及默認搜索頁、獲取瀏覽器歷史記錄、篡改瀏覽器收藏夾、添加瀏覽器擴展、修改瀏覽器Cookie等惡意行為。經過溯源發現:木馬傳播者對《孤島驚魂5》、《怪物獵人:世界》、《極品飛車20》、《鬼泣5》、《邊緣世界》等知名遊戲進行二次打包並加入木馬程序,然後通過游虎遊戲網(hxxp://dj.dianjinghu.com)進行傳播。近期在游虎遊戲網站中下載過單機遊戲的用戶請儘快使用殺軟進行查殺。
過程分析:
主要執行流程如下:
遊戲安裝完用戶點擊桌面遊戲快捷方式開始遊戲後後首先會請求hxxp://down.qm188[.]com/yhlock.7z得到了一個採用AES加密的壓縮包文件yhlock.7z, 該壓縮包經過AES解密後,解壓釋放出demo.dll並加載其導出函數plugin_lock():相關代碼如下圖所示:
調試解密yhlock.7z成PE文件如下圖所示:
該文件內存中加載後會繼續從hxxp://down.qm188[.]com/check.7z下載一個同樣使用AES加密的壓縮包,解密解壓縮後包含一個Lock.dll並加載執行(PDB信息:d:\\瀏覽器相關\\Lock\\release\\Lock.pdb):調試解密check.7z成PE文件如下圖所示:
該DLL文件封裝了針對市面上超過15款主流瀏覽器的劫持修改函數:
而demo.dll則主要執行:
1、篡改瀏覽器收藏夾,靜默替換收藏項連結;
2、篡改瀏覽器Cookie
3、安裝瀏覽器擴展(具備劫持功能);
4、獲取瀏覽器歷史瀏覽記錄
5、鎖定瀏覽器主頁有:
https://www.hao123.com/?tn=98625814_hao_pg
http://daohang.qq.com.cn0d.qq.1230578.com/%d.html
http://123.sogou.com.cnsg.123.1234034.com/%d.html
http://www.2345.com.cn.2345.hao3603.com/%d.html
判斷殺軟,修改IE瀏覽器的主頁;相關代碼如下圖所示:
篡改瀏覽器的cookie,會修改host_key為.hao123.com的cookie部分代碼如下圖所示:
另外鎖定的導航連結並不是唯一的,會通過生成隨機數來拼接出隨機的導航連結地址,並通過隨機數控制一定機率來選擇鎖定為host和不同二級域名的連結,猜測是為了躲避對抗某些殺軟和瀏覽器對被篡改為同一連結的監控;相關代碼如下圖所示:
該劫持木馬受影響用戶區域分布圖,似乎和一般其它木馬分布不太一致,山東、福建、四川的網友受影響最多:
360安全大腦建議:
1、儘快前往weishi.360.cn,下載安裝360安全衛士,有效攔截各類病毒木馬病毒攻擊,保護電腦隱私及財產安全;
2、在下載遊戲時,儘量使用正規下載渠道;
3、對於殺毒軟體報毒的程序,不要輕易添加信任或退出殺軟運行。
IOCs
SHA256:
58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d
abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f
9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9
URL
hxxp://down.qm188[.]com/check.7z
hxxp://down.qm188[.]com/yhlock.7z
hxxps://www.2345[.]com/?32772-0009
hxxps://www.hao123[.]com/?tn=98625814_hao_pg
hxxp://daohang.qq.com.cn0d.qq.1230578[.]com/%d.html
hxxp://123.sogou.com.cnsg.123.1234034[.]com/%d.html
hxxp://www.2345.com.cn.2345.hao3603[.]com/%d.html
hxxp://hao.360.cn.com.360.1230578[.]com/%d.html
hxxp://hao.360.cn.com.360.hao3603[.]com/%d.html
hxxps://bz.dashi88[.]com/?scj
hxxp://yx.hao3603[.]com
hxxp://bd.hao3603[.]com
hxxp://tm.hao3603[.]com
CRX ID
mhcakmpdiokfhiladgifhfklgmnniohn 輕度新標籤頁