近期,火絨威脅情報系統監測到,有黑客團伙偽造了帶毒的Chrome瀏覽器,上傳至“軟件盒子”、“海量軟件管家”等軟件進行大量傳播。病毒運行后會執行篡改瀏覽器啟動頁、新標簽頁等惡意行為。
(資料圖片)
用戶運行上述盜版 Chrome 瀏覽器安裝包之后,被黑客篡改過 文件會立即請求服務器配置,隨后黑客便可執行篡改瀏覽器啟動頁,新標簽頁,以及URL重定向,隱藏URL等惡意行為,該病毒的執行流程圖如下:
在此,火絨工程師建議廣大用戶在下載軟件時,盡量選擇官方或正規可信的應用商店,并安裝可靠的安全軟件以保護設備免受惡意軟件和病毒的侵害。目前,火絨安全產品可對上述病毒進行攔截查殺,請用戶及時更新病毒庫以進行防御。
被篡改的文件主要為,當Chrome瀏覽器啟動后,會被加載,首先會解密出C&C服務器地址,并從C&C服務器獲取配置文件地址,相關代碼,如下圖所示:
獲取配置文件并解析配置信息,相關代碼,如下圖所示:
解密后的配置信息,一些重要的字段,如下圖所示:
重要字段說明,如下圖所示:
接收到配置信息后,根據配置信息來執行一些惡意行為有:修改啟動頁、新標簽頁、URL重定向、隱藏URL,下面進行詳細說明。
URL重定向功能,根據服務器下發的正則表達式,將匹配上的URL重定向到指定網址進行推廣,如訪問會被重定位到/?tn=02003390_39_hao_pg,關鍵代碼,如下圖所示:
隱藏URL功能,如果瀏覽器地址欄包含推廣號相關的字符串就不顯示URL,來降低被發現的概率,如訪問被重定向到/?tn=02003390_39_hao_pg后,瀏覽器地址欄顯示為空,如下圖所示:
關鍵代碼,如下圖所示:
根據配置信息修改瀏覽器啟動頁,關鍵代碼,如下圖所示:
C&C服務器
HASH
關鍵詞: