一、概述
近日腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,不少用户反馈在电脑城、XX网店安装的系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。
该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,其安装路径都是在program files\xwinpipoc目录下,根据这一特点,腾讯安全专家将其命名为pipoc锁主页木马,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站。
这些带毒ghost系统主要通过一些盗版软件下载站传播,包括系统之家、win7 旗舰版、win7之家等等站点。腾讯安全专家建议用户尽量使用微软官方光盘镜像安装系统,避免下载带毒Ghost文件,已发现主页被锁定的用户可以使用腾讯电脑管家查杀病毒。
pipoc锁主页木马呈明显上升趋势
二、病毒分析
QQ_Protect.sys系列木马驱动服务名为QQ_ProtectSer签名信息大部分都是henan pushitong intelligent technology,PDB字符信息也直接显示该系列病毒是锁主页:xxx\LockHomePage(ApcInject)\x64\Win7Release\QQ_Protect_X64_.pdb,
pipoc锁主页木马注册的驱动服务
病毒驱动程序有数字签名
木马运行加载后会设置进程创建回调及模块加载回调,在进程创建回调中监控进程创建事件,如果是浏览器进程则通过篡改进程启动参数的方式进行主页劫持。
进程创建回调
监控浏览器进程启动
劫持的浏览器有IE、chrome、360se 等,具体的劫持列表如下:
此外,病毒在模块加载(LoadImage)回调中阻止杀软及浏览器保护模块的加载运行。包括通配急救箱进程文件 *SUPERKILLER.EXE,浏览器保护模块QBSAFE.DLL等。
对抗杀软
配置文件
以下图为例,会被劫持以参数2345.3839069.com的方式启动浏览器进程,最后跳转到带推广编号38264-0001的2345网址导航页
主页劫持
三、关联分析
对域名pc.1668pc.com进行关联分析,其注册邮箱为952136745@qq.com,腾讯安图显示使用该邮箱注册的相关恶意域名有多个,而且域名下的url大都是主页劫持的配置信息,如hxxp://pc5210.com/ys.rar , 解压后是一个HLMicLock.ini的配置文件,配置文件里同样有主页劫持的相关信息。证明该邮箱的使用者,已是锁主页病毒的惯犯。
关联域名:
主页劫持配置信息
四、安全建议:
1.盗版ghost系统是病毒传播的重要渠道,用户尽量使用官方正版系统安装;
2.已经中毒感染的用户可以用电脑管家进行查杀拦截,时刻开启杀毒软件的实时防护。
IOC:
Md5:
3d4136b69a602e708b99e81c47367ebb
5c1fb8a76b89539937e8a68796a05c78
56d0434b46ba6516da338f15416f2025
211440b7a07a49b990fe7065aa6a3dfd
1cb964b0baca5ffb9c4cdaff0e01654c
6da02109c93817c70bc8b90a98536680
20c731d73d20321c56341d63a068332d
56e0981e483891a0f192e01e1df93e98
0b0783737edd594de74c7db330ad7728
67ae545c9a15173615ca55fd4fbb3d54
a25866fcaa7a7c3397145650236f8264
fa18f489588076bbb3c65a81e9ba4af8
7d8110599dec7ec23b7d8f10e6a12229
0182e55ce8ffb518fde09fe5c06b4b3f
ecc0b2d03aae86edf1a339068f490a16
1f83ad1e26162bb210c5e6d5859ab200
afde133fc15de6c1afa85d1996e41a88
37d7921cabf4c8c0f8d75edd5f5a8edc
0b0783737edd594de74c7db330ad7728
3a313228484b498ae3455a495a7968b3
e6d55a0721425433c7421abaff3ebf87
ecc0b2d03aae86edf1a339068f490a16
07bf93170e9801b15437b80f6d7284e0
1f83ad1e26162bb210c5e6d5859ab200
1aaf812addaf8939065b37dc0f31fdba
6be03bb570082ca830424c75cb218cb3
1cb964b0baca5ffb9c4cdaff0e01654c
DNS:
pc5210.com
pc.1668pc.com
未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 盗版Ghost系统传播pipoc锁主页木马 受害电脑已上万
新网修改域名DNS方法
常见的域名解析错误原因及应对方法
写给自建站新手卖家的7条营销建议