近期,火絨威脅情報(bào)系統(tǒng)監(jiān)測到�,有黑客團(tuán)伙偽造了帶毒的Chrome瀏覽器�����,上傳至“軟件盒子”����、“海量軟件管家”等軟件進(jìn)行大量傳播�����。病毒運(yùn)行后會(huì)執(zhí)行篡改瀏覽器啟動(dòng)頁、新標(biāo)簽頁等惡意行為����。
(資料圖片)
用戶運(yùn)行上述盜版 Chrome 瀏覽器安裝包之后,被黑客篡改過 文件會(huì)立即請(qǐng)求服務(wù)器配置���,隨后黑客便可執(zhí)行篡改瀏覽器啟動(dòng)頁����,新標(biāo)簽頁���,以及URL重定向��,隱藏URL等惡意行為�,該病毒的執(zhí)行流程圖如下:
在此���,火絨工程師建議廣大用戶在下載軟件時(shí)��,盡量選擇官方或正規(guī)可信的應(yīng)用商店�,并安裝可靠的安全軟件以保護(hù)設(shè)備免受惡意軟件和病毒的侵害。目前����,火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺,請(qǐng)用戶及時(shí)更新病毒庫以進(jìn)行防御�。
一、樣本分析
被篡改的文件主要為���,當(dāng)Chrome瀏覽器啟動(dòng)后���,會(huì)被加載,首先會(huì)解密出C&C服務(wù)器地址�,并從C&C服務(wù)器獲取配置文件地址,相關(guān)代碼�,如下圖所示:
獲取配置文件并解析配置信息,相關(guān)代碼���,如下圖所示:
解密后的配置信息�,一些重要的字段����,如下圖所示:
重要字段說明��,如下圖所示:
接收到配置信息后���,根據(jù)配置信息來執(zhí)行一些惡意行為有:修改啟動(dòng)頁、新標(biāo)簽頁��、URL重定向��、隱藏URL��,下面進(jìn)行詳細(xì)說明����。
URL重定向功能����,根據(jù)服務(wù)器下發(fā)的正則表達(dá)式,將匹配上的URL重定向到指定網(wǎng)址進(jìn)行推廣�����,如訪問會(huì)被重定位到/?tn=02003390_39_hao_pg���,關(guān)鍵代碼�����,如下圖所示:
隱藏URL功能��,如果瀏覽器地址欄包含推廣號(hào)相關(guān)的字符串就不顯示URL��,來降低被發(fā)現(xiàn)的概率����,如訪問被重定向到/?tn=02003390_39_hao_pg后,瀏覽器地址欄顯示為空�����,如下圖所示:
關(guān)鍵代碼����,如下圖所示:
根據(jù)配置信息修改瀏覽器啟動(dòng)頁,關(guān)鍵代碼����,如下圖所示:
二、附錄
C&C服務(wù)器
HASH
關(guān)鍵詞:
