查看:195
回复:0
DT下载器木马感染2万台电脑,中招后频繁弹广告、主页被锁[复制链接]

2020-05-13 10:26:33 只看楼主 倒序浏览 电梯直达

 本帖最后由 ε๑⍥๑з 于 2020-05-13 10:28:34 编辑【文章摘要】腾讯安全威胁情报中心发现一个名为DTCenSvc.exe的文件异常之高,腾讯安全大数据显示中招电脑超过2万台,该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。腾讯电脑管家内置的[软件管理]提供安全软件下载,[权限雷达]能为用户拦截广告弹窗和恶意推装。
    一、概述
    腾讯安全威胁情报中心在进行例行高广风险文件排查时,发现一个名为DTCenSvc.exe的文件异常之高,腾讯安全大数据显示中招电脑超过2万台。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。腾讯安全专家提醒用户避免从易受污染的软件下载站下载,高风险下载渠道极易感染挖矿木马、勒/索软件、广告弹窗、浏览器主页被锁等问题。


    二、解决方案
    1.针对恶意推装
    互联网上充斥各种小众软件分发渠道,这些渠道或良莠不齐,或管理混乱,用户通过这些小众渠道搜索下载软件时,极易感染病毒木马,被捆/绑安装不需要的其他软件。

    针对此类软件的恶意捆/绑传播,腾讯电脑管家(https://guanjia.qq.com/)已支持全面检测和拦截,解决方案如下:
    (1)可查杀DT_Downloader相关的病毒程序;
    (2)软件管家可提供干净无插件的软件安装程序;
    (3)提供个人终端的PC安全防护,清理加速,软件管理,办公助手等服务。


    腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件,或者使用腾讯电脑管家的[软件管理]功能搜索下载相应软件。腾讯电脑管家已升级查杀DT下载器木马,内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。



    2.针对广告弹窗
    某些下载器打着高速下载器的旗号,会在用户电脑安装完软件后不定时弹出各种恶意广告,关不完的弹窗影响上网体验,甚至一点就会中病毒圈套,十分影响上网和办公体验。


    腾讯电脑管家内置的[权限雷达]可帮助用户拦截各种广告弹窗,还你一个“清净”的网页。只需四步,就能用电脑管家对电脑软件进行权限扫描,一键阻挡恶意弹窗。
    第一步:进入腾讯电脑管家,打开左侧[工具箱]栏,点击[权限雷达]。


    第二步:立即扫描电脑软件权限,迅速了解软件行为。


    第三步:查收权限报告,选择需要屏蔽的软件及弹窗类别,一键阻止软件弹窗权限。



    第四步:开启更多权限管理功能,避免埋下权限隐患。


    三、病毒样本分析
    DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块,并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件,并拉取配置中的文件执行。目前配置中保存了两个RUL,分别为:
    hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件,hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。

    MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块,包含一个Mini页弹窗,一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明,部分用户也难以对其进行卸载删除,用户看到此类广告后会感到极度反感。

    ObtainSysInfo.exe是一个主页修改相关的包程序,该程序运行后会首先检查环境内是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包,解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页,收藏等信息。

    四、病毒溯源分析
    经过溯源分析,我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本,该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。


    比对可知,本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容,且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。



    该下载器同样存在恶意修改浏览器主页信息,静默推装多款应用的行为,会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。

     IOCs
    MD5:
    aa8c5fffd2de7bd7c39f90a9392d8db0
    7348a00072d3d45e6006d7945744d962
    fbb1a7653d715b8f56e54917adb2450e
    b6efb80f8c28a9c95fa3353d534c13d8
    b1766aad514d1d84d3ed360c35d88f78
    Domain:
    down.hao3603.com
    down.1230578.com
    URL:
    hxxp://down.hao3603.com/qd/MiniSetup.exe
    hxxp://down.hao3603.com/qd/ObtainSysInfo.exe
    hxxp://down.1230578.com/SetFunVec.7z
    hxxp://down.1230578.com/UpdateProfile.7z
    hxxp://down.1230578.com/DTPageSet.exe  
 本主题由 ε๑⍥๑з 于 2020-06-28 13:54:57 解除高亮
ε๑⍥๑з
版主
LV.4
主题62
回帖1
经验389
Z 币271
ε๑⍥๑з
版主
LV.4
主题 62
回帖 1
经验 389
Z 币 271
注册 2018-10-11
最近 2020-08-10
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!