近期����,火絨威脅情報系統監測到�����,有黑客團伙偽造了帶毒的Chrome瀏覽器,上傳至“軟件盒子”、“海量軟件管家”等軟件進行大量傳播����。病毒運行后會執行篡改瀏覽器啟動頁��、新標簽頁等惡意行為。
(資料圖片)
用戶運行上述盜版 Chrome 瀏覽器安裝包之后���,被黑客篡改過 文件會立即請求服務器配置,隨后黑客便可執行篡改瀏覽器啟動頁�,新標簽頁����,以及URL重定向�����,隱藏URL等惡意行為����,該病毒的執行流程圖如下:
在此��,火絨工程師建議廣大用戶在下載軟件時,盡量選擇官方或正規可信的應用商店����,并安裝可靠的安全軟件以保護設備免受惡意軟件和病毒的侵害�。目前��,火絨安全產品可對上述病毒進行攔截查殺�,請用戶及時更新病毒庫以進行防御���。
一���、樣本分析
被篡改的文件主要為�����,當Chrome瀏覽器啟動后��,會被加載,首先會解密出C&C服務器地址,并從C&C服務器獲取配置文件地址����,相關代碼�����,如下圖所示:
獲取配置文件并解析配置信息��,相關代碼,如下圖所示:
解密后的配置信息,一些重要的字段,如下圖所示:
重要字段說明,如下圖所示:
接收到配置信息后�,根據配置信息來執行一些惡意行為有:修改啟動頁���、新標簽頁���、URL重定向、隱藏URL���,下面進行詳細說明。
URL重定向功能�,根據服務器下發的正則表達式��,將匹配上的URL重定向到指定網址進行推廣,如訪問會被重定位到/?tn=02003390_39_hao_pg����,關鍵代碼����,如下圖所示:
隱藏URL功能���,如果瀏覽器地址欄包含推廣號相關的字符串就不顯示URL�,來降低被發現的概率,如訪問被重定向到/?tn=02003390_39_hao_pg后����,瀏覽器地址欄顯示為空�����,如下圖所示:
關鍵代碼,如下圖所示:
根據配置信息修改瀏覽器啟動頁��,關鍵代碼�����,如下圖所示:
二��、附錄
C&C服務器
HASH
關鍵詞:
