DT下载器木马感染2万台电脑,中招后频繁弹广告、主页被锁

2020-05-12 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全威胁情报中心发现一个名为DTCenSvc.exe的文件异常之高,腾讯安全大数据显示中招电脑超过2万台,该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。腾讯电脑管家内置的[软件管理]提供安全软件下载,[权限雷达]能为用户拦截广告弹窗和恶意推装。

、概述

腾讯安全威胁情报中心在进行例行高广风险文件排查时,发现一个名为DTCenSvc.exe的文件异常之高,腾讯安全大数据显示中招电脑超过2万台。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。腾讯安全专家提醒用户避免从易受污染的软件下载站下载,高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。


二、解决方案

1.针对恶意推装

互联网上充斥各种小众软件分发渠道,这些渠道或良莠不齐,或管理混乱,打着“高速下载”的旗号吸引用户,用户通过这些小众渠道搜索下载软件时,极易感染病毒木马,被捆绑安装不需要的其他软件。

针对此类软件的恶意捆绑传播,腾讯电脑管家系列安全软件已支持全面检测和拦截,个人用户可以通过讯电脑管家个人版https://guanjia.qq.com/)实现安全防护,中小企业团队可使用腾讯电脑管家小团队版(https://team.qq.com/site/index.html)进行专业IT运维,解决方案如下:

1)腾讯电脑管家可查杀DT_Downloader相关的病毒程序;

(2)软件管家可提供干净无插件的软件安装程序;

(3)提供个人终端的PC安全防护、清理加速、软件管理、办公助手等服务。


腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件,或者使用腾讯电脑管家的[软件管理]功能搜索下载相应软件。腾讯电脑管家已升级查杀DT下载器木马,内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。



2.针对广告弹窗

某些下载器打着高速下载器的旗号,会在用户电脑安装完软件后不定时弹出各种恶意广告,关不完的弹窗影响上网体验,甚至一点就会中病毒圈套,十分影响上网和办公体验。

腾讯电脑管家内置的[权限雷达]可帮助用户拦截各种广告弹窗,还你一个“清净”的网页。只需四步,就能用电脑管家对电脑软件进行权限扫描,一键阻挡恶意弹窗。


第一步:进入腾讯电脑管家,打开左侧[工具箱]栏,点击[权限雷达]。


第二步:立即扫描电脑软件权限,迅速了解软件行为。


第三步:查收权限报告,选择需要屏蔽的软件及弹窗类别,一键阻止软件弹窗权限。



第四步:开启更多权限管理功能,避免埋下权限隐患。


三、病毒样本分析

DTCenSvc.exe行后会释放执行yDwpSvc.exe模块,并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件,并拉取配置中的文件执行。目前配置中保存了两个RUL,分别为:

hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件,hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。

MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块,包含一个Mini页弹窗,一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明,部分用户也难以对其进行卸载删除,用户看到此类广告后会感到极度反感。

ObtainSysInfo.exe是一个主页修改相关的包程序,该程序运行后会首先检查环境内是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包,解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页,收藏等信息。


四、病毒溯源分析

经过溯源分析,我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本,该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。

比对可知,本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容,且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。

该下载器同样存在恶意修改浏览器主页信息,静默推装多款应用的行为,会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。

 IOCs

MD5:

aa8c5fffd2de7bd7c39f90a9392d8db0

7348a00072d3d45e6006d7945744d962

fbb1a7653d715b8f56e54917adb2450e

b6efb80f8c28a9c95fa3353d534c13d8

b1766aad514d1d84d3ed360c35d88f78

Domain:

down.hao3603.com

down.1230578.com

URL:

hxxp://down.hao3603.com/qd/MiniSetup.exe

hxxp://down.hao3603.com/qd/ObtainSysInfo.exe

hxxp://down.1230578.com/SetFunVec.7z

hxxp://down.1230578.com/UpdateProfile.7z

hxxp://down.1230578.com/DTPageSet.exe


电脑管家V13.5

权限雷达全新升级

详情>>

版本更新:2020.02.20