查看:553
回复:0
20多款游戏外挂传播主页劫持木马,影响超10万台电脑[复制链接]

2019-11-18 14:38:59 只看楼主 倒序浏览 电梯直达

 本帖最后由 ε๑⍥๑з 于 2019-11-18 14:42:03 编辑
【文章摘要】腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂(游戏辅助工具)进行传播,该木马团伙已累计感染超过10万电脑。

    一、概述

    近期,腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂(游戏辅助工具)进行传播,这些外挂包括:谨哥辅助、极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等。这些木马会劫持浏览器主页、进行广告推广。这些外挂都会欺骗玩家称经过权威杀软检测0报毒,之后自动更新并根据配置文件的设置下载广告木马执行。


    根据腾讯安图数据显示,木马服务器地址daohang1.oss-cn-beijing.aliyuncs.com在高峰时期,每天有近一万的访问量,日均4000的访问量。仅从瑾哥辅助一个辅助工具的站长统计数据看,平均每天访问机器数都超过1000。而类似瑾哥辅助用来传播广告木马的外挂,共有20余款,该木马团伙已累计感染超过10万电脑。

    传播态势如下:


    谨哥辅助工具站长统计数据:


    二、详细分析 
    
    该木马团伙包装的多个游戏外挂(辅助工具)运行流程基本一致,运行后通过网络获取配置文件,根据配置文件下载多个木马执行,包括主页劫持木马、广告推广木马等等,此外还会升级自身,其工作流程如下:            

    获取配置文件&下载木马 

    联网获取配置文件,配置文件的内容主要是下一步要下载文件的地址、文件名、安装目录等信息。目前瑾哥辅助配置文件中下载文件包括LREDH.exe(木马文件,主要作用是进行主页劫持), TheWorld.exe(浏览器进程),安装路径为当前目录的 Tim文件夹


    瑾哥辅助&极品辅助配置文件下载地址:

    hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd 

    hxxp://dh.3ayl.cn/jp/jp.jd

    瑾哥辅助配置文件内容:


    极品辅助配置文件内容包括自更新地址、主页劫持木马、广告推广木马等配置:


    根据配置文件中的下载地址下载主页劫持木马,安装在外挂程序当前目录(Tim文件夹下),主页劫持木马下载地址:
    
    hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe
    
    主页劫持


    主页劫持的套路和常见的主页劫持有点不一样, 常见的主页劫持一般都是通过注册进程创建回调,或者挂钩进程创建相关函数,在浏览器进程启动时进行命令行篡改。而该木马的劫持过程如下:遍历桌面,快速启动栏等文件目录下的浏览器快捷方式,将浏览器快捷方式目标篡改指向主页劫持木马LREDH.exe,LREDH.exe再启动浏览器进程根据配置文件里的导航网址进行篡改。

    遍历快捷方式后缀lnk,如果是浏览器进程快捷方式则进行篡改:



    篡改浏览器快捷方式


    劫持导航网址配置:


    传播渠道

    腾讯安全御见威胁情报中心数据显示,该木马主要通过热门游戏辅助网站进行传播,除了谨哥系列辅助,还包括:极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等超过20款。该木马团伙根据不同的辅助工具匹配不同的劫持导航id(该ID主要用来做流量统计计费)。如瑾哥辅助对应的id为jinge.html,jinge-xw 等。


    谨哥系列辅助网站:



    三、安全建议

    1.游戏外挂、辅助工具一直都是各种病毒木马传播的温床,个人用户谨慎使用。

    2.使用杀毒软件拦截病毒木马劫持浏览器,不要轻信外挂网站要求关闭杀毒软件再运行的谎话。腾讯电脑管家、腾讯御点终端安全管理系统均可拦截查杀该病毒。


    IOC:

    
    MD5:

    d85105726e0321f00fbcc4917c32d97c

    fe852d90aa84091a1d8d9eabe953c14a

    f32ca081e51f85a1f8fbeaa13d4dd059

    fbdd60adddb2dfab641e7335e4ecc0cb

    fd3dbcdd366d8fa1505c90b65a6a2f29

    Url:

    hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd

    hxxp://dh.3ayl.cn/jp/jp.jd

    hxxp://dh.3ayl.cn/jp/shellEx.fne

    DNS:

    daohang1.oss-cn-beijing.aliyuncs.com

    dh.3ayl.cn

    bbyz.oss-cn-shanghai.aliyuncs.com

    hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe
 本主题由 ε๑⍥๑з 于 2019-12-09 10:06:07 解除高亮
ε๑⍥๑з
版主
LV.4
主题63
回帖3
经验405
Z 币282
ε๑⍥๑з
版主
LV.4
主题 63
回帖 3
经验 405
Z 币 282
注册 2018-10-11
最近 2020-09-14
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!