盗版Ghost系统传播pipoc锁主页木马 受害电脑已上万

腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,不少用户反馈在电脑城、XX网店安装的系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。

一、概述

近日腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,不少用户反馈在电脑城、XX网店安装的系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。

该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,其安装路径都是在program files\xwinpipoc目录下,根据这一特点,腾讯安全专家将其命名为pipoc锁主页木马,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站。

这些带毒ghost系统主要通过一些盗版软件下载站传播,包括系统之家、win7 旗舰版、win7之家等等站点。腾讯安全专家建议用户尽量使用微软官方光盘镜像安装系统,避免下载带毒Ghost文件,已发现主页被锁定的用户可以使用腾讯电脑管家查杀病毒。

1.png

pipoc锁主页木马呈明显上升趋势

二、病毒分析

QQ_Protect.sys系列木马驱动服务名为QQ_ProtectSer签名信息大部分都是henan pushitong intelligent technology,PDB字符信息也直接显示该系列病毒是锁主页:xxx\LockHomePage(ApcInject)\x64\Win7Release\QQ_Protect_X64_.pdb,

2.png

pipoc锁主页木马注册的驱动服务

3.png

病毒驱动程序有数字签名

木马运行加载后会设置进程创建回调及模块加载回调,在进程创建回调中监控进程创建事件,如果是浏览器进程则通过篡改进程启动参数的方式进行主页劫持。

4.png

进程创建回调

5.png

监控浏览器进程启动

劫持的浏览器有IE、chrome、360se 等,具体的劫持列表如下:

6.png

此外,病毒在模块加载(LoadImage)回调中阻止杀软及浏览器保护模块的加载运行。包括通配急救箱进程文件 *SUPERKILLER.EXE,浏览器保护模块QBSAFE.DLL等。

7.png

对抗杀软

8.jpg

配置文件

以下图为例,会被劫持以参数2345.3839069.com的方式启动浏览器进程,最后跳转到带推广编号38264-0001的2345网址导航页

9.png

主页劫持

三、关联分析

对域名pc.1668pc.com进行关联分析,其注册邮箱为952136745@qq.com,腾讯安图显示使用该邮箱注册的相关恶意域名有多个,而且域名下的url大都是主页劫持的配置信息,如hxxp://pc5210.com/ys.rar , 解压后是一个HLMicLock.ini的配置文件,配置文件里同样有主页劫持的相关信息。证明该邮箱的使用者,已是锁主页病毒的惯犯。

关联域名:

10.png

主页劫持配置信息

11.jpg

 

四、安全建议:

1.盗版ghost系统是病毒传播的重要渠道,用户尽量使用官方正版系统安装;

2.已经中毒感染的用户可以用电脑管家进行查杀拦截,时刻开启杀毒软件的实时防护。

12.png

IOC:

Md5:

3d4136b69a602e708b99e81c47367ebb

5c1fb8a76b89539937e8a68796a05c78

56d0434b46ba6516da338f15416f2025

211440b7a07a49b990fe7065aa6a3dfd

1cb964b0baca5ffb9c4cdaff0e01654c

6da02109c93817c70bc8b90a98536680

20c731d73d20321c56341d63a068332d

56e0981e483891a0f192e01e1df93e98

0b0783737edd594de74c7db330ad7728

67ae545c9a15173615ca55fd4fbb3d54

a25866fcaa7a7c3397145650236f8264

fa18f489588076bbb3c65a81e9ba4af8

7d8110599dec7ec23b7d8f10e6a12229

0182e55ce8ffb518fde09fe5c06b4b3f

ecc0b2d03aae86edf1a339068f490a16

1f83ad1e26162bb210c5e6d5859ab200

afde133fc15de6c1afa85d1996e41a88

37d7921cabf4c8c0f8d75edd5f5a8edc

0b0783737edd594de74c7db330ad7728

3a313228484b498ae3455a495a7968b3

e6d55a0721425433c7421abaff3ebf87

ecc0b2d03aae86edf1a339068f490a16

07bf93170e9801b15437b80f6d7284e0

1f83ad1e26162bb210c5e6d5859ab200

1aaf812addaf8939065b37dc0f31fdba

6be03bb570082ca830424c75cb218cb3

1cb964b0baca5ffb9c4cdaff0e01654c

 

DNS:

pc5210.com

pc.1668pc.com

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 盗版Ghost系统传播pipoc锁主页木马 受害电脑已上万

赞 (0)