论网络作恶,病毒木马“当仁不让”,它们不仅花样百出、隐藏极深还无孔不入。近期360安全大脑监测发现一批伪装成破解补丁、网赚工具、刷钻程序等进行传播的木马程序。这些木马在暗地里刷访问量、篡改浏览器首页、弹虚假广告,据统计受其影响的用户已超过10万。

反套路木马病毒(网络黑灰产需谨慎)(1)

作恶木马手段多,花式入侵令人细思极恐

经360安全大脑分析,此次作恶木马狡诈多端,为达目的不择手段。首先,木马乔装改变,企图被当作正常程序安装到用户计算机中,一旦成功,不仅不提供卸载项,还会将自身添加为开机自启动,一副“我是主宰”做派。

其次,为了不被发现,且能长时间灵活作案,该木马将进行“刷量”所使用的配置文件都存储在云端并进行多层加密,以便它能够进行自主控制。同时,木马在进行暗刷之前还会对刷量程序进行静音处理,以保持暗刷时完全静音隐蔽,做到“万无一失”。

更为狡猾的是,为躲避其宿敌——360安全软件的强力查杀,部分木马的下载页面中会专门为360提供“特供”的加密压缩包,且会“悉心指导”用户将其添加至360的白名单中,企图混过审查。

反套路木马病毒(网络黑灰产需谨慎)(2)

此外,木马作恶不停歇。在后台疯狂刷流量的同时,它还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页,以及频繁弹出无法正常关闭的广告窗。

反套路木马病毒(网络黑灰产需谨慎)(3)

不得不说,在非法利益的驱动之下,木马病毒在隐藏及伪装方面不断进化升级,简直是丧心病狂、绞尽脑汁。

作恶木马胆量大,黑手伸向热门领域且牵扯甚广

据360安全大脑监测发现,该木马所刷流量涉及某狐、某酷等多家知名网站,以及北京、上海、天津等地的6家广告联盟。刷量内容如下(已隐去部分业务/联盟名称):

反套路木马病毒(网络黑灰产需谨慎)(4)

同时,该木马不仅将黑手伸向热门领域,暗刷量也极其高。以*狐视频为例,被暗刷的剧集播放量最高已经超过了3000万,最少的也有400多万。

反套路木马病毒(网络黑灰产需谨慎)(5)

此外,该木马还以庞大的“活跃触角”,不断扩大着影响范围。根据360安全大脑的数据统计显示,仅最近还在活跃的某单一木马样本——在近3个月中就被360拦截过百万次。而整个该家族木马所影响计算机设备数则超过十万台。

而该族系的木马所使用的刷量配置云控域名常年处于活跃状态,并在2018年底的时候更是达到过单日请求量超过10万次的高峰。

反套路木马病毒(网络黑灰产需谨慎)(6)

如此“活跃”作案之下,全国绝大多数的地区已受其影响。其中,以广东、江苏、山东、河南、浙江五个地区的受影响程度最高。

反套路木马病毒(网络黑灰产需谨慎)(7)

监控查杀“双剑合璧”,360安全大脑第一时间构建流量防护网

面对作恶者,360安全大脑第一时间对该木马进行了监控与查杀,为广大用户建立起安全防护网。除此之外,安全专家还对该木马做了行为分析,揭露其作恶轨迹:

后台暗刷流量分析:

一旦木马安装到用户计算机,它便会访问云端配置文件获取待刷页面的列表,利用用户计算机进行刷量操作。

而云端所提供的配置列表是通过AES的CBC模式加密的,木马解密时所使用的KEY和IV均通过简单编码后硬编码于程序中,相关代码如下图所示:

反套路木马病毒(网络黑灰产需谨慎)(8)

分析人员对其配置进行解密之后,看到里面内容包括:刷相关的点击、鼠标操作、页面元素等多达100余项参数。

反套路木马病毒(网络黑灰产需谨慎)(9)

根据分析时所获取到的配置文件内容,360安全专家又解密出云控刷量URL,内容包括某狐、某酷及对应广告代码等列表。部分片断如下图所示:

反套路木马病毒(网络黑灰产需谨慎)(10)

静默修改浏览器主页、起始页

除了上述的刷量操作,木马还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页。木马所篡改的浏览器列表如下:

反套路木马病毒(网络黑灰产需谨慎)(11)

木马篡改浏览器起始页代码如下:

反套路木马病毒(网络黑灰产需谨慎)(12)

最后,面对擅长伪装、又无孔不入的木马病毒,360安全大脑提醒广大用户:

1、建议前往weishi.360.cn,安装360安全卫士,并保持杀毒软件开启;

2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;

3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀此类病毒木马。

---------------------------------------------------------

1.本文援引自互联网,旨在传递更多网络信息,仅代表作者本人观点,与本网站无关。

2.本文仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

,