一、概述
近期收到用户反馈,电脑在访问一些论坛网页和游戏网页时,浏览器被劫持跳转至私服网站(XXXX为变化的)。该现象涉及市场上几十种浏览器,被劫持网站列表更是高达1000+,包含论坛网站、游戏网站、视频网站等。且被劫持网站列表还会实时更新。
毒霸工程师跟进后发现,该现象来源于一批私服登陆器,这类私服登录器会释放出恶意驱动文件(名称随机化),该恶意驱动会在C:\\Temp目录下,释放和()文件,最后利用和去操作浏览器劫持相关的网页访问。
劫持的原理是针对浏览器进程进行远程线程注入,winaudio.dll会对浏览器访问的网址进行过滤,若当前访问的网址存在于被劫持的网站列表中,就会把连接网页服务端的ip修改为127.0.0.1,去和winaudio.exe连接,winaudio.exe则作为一个中转服务器去访问网页sfbao.XXXX.com(XXXX为变化的),然后把通讯数据传输给浏览器,从而实现劫持。下图为大致执行流程。
样本执行流程图
二、样本分析
以下暂且把winaudio.exe称作病毒控制模块,把winaudio.dll称作病毒注入模块。
(一)、病毒控制模块winaudio.exe分析
研究发现winaudio.exe模块会通过三层云控,获得真正的文本网页证书server.crt,server.der,server.key和加密的劫持网页列表信息的5B7C84755D8041139A7AEBA6F4E5912F.dat文件。
以上数据加密方式都采用DES加密,密钥为字符串”j_k*avb”。解密发现下载链接都采用http://i2.tiimg.com和http://imgsrc.baidu.com的公共图床存储。分析发现图片不定时更新,但信息大致一样。下面为解密后的数据。
发表评论