【文章摘要】近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。
1、“肥兔”来历
近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件,目前管家已经全面拦截和查杀。
该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等方面有极大的相似性,可以确定是同一作者所为。同时,管家在追踪该木马时,发现其每个重要的模块都包含了如下的调试路径,从该路径可以看出该木马的工程名为“feitu32Ej64-混沌后台”。管家因此将其取名“肥兔”,实际上为黑狐的新变种。
近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件,目前管家已经全面拦截和查杀。
该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等方面有极大的相似性,可以确定是同一作者所为。同时,管家在追踪该木马时,发现其每个重要的模块都包含了如下的调试路径,从该路径可以看出该木马的工程名为“feitu32Ej64-混沌后台”。管家因此将其取名“肥兔”,实际上为黑狐的新变种。
无独有偶,管家在“黑狐”木马的伪装文件中,也察觉到“肥兔”的身影,可初步推断“肥兔”项目酝酿已久。
2、“肥兔”大解剖
“肥兔”木马的安装模块(FeiTuDll.dll)经由各种传播渠道下载执行后,木马会进行一系列的下载安装过程,经过分析发现“肥兔”木马有着比较复杂的功能和模块划分,应该是团队作者所为,经过各种复杂的检测和绕过,木马最终实现长期驻留、干掉安全软件、锁定浏览器主页、推广流氓软件等。模块和功能的具体分工示意图如下:
重定向后的主页:
“肥兔”木马功能示意图
“肥兔”木马模块分工示意图
“肥兔”木马模块分工示意图
3. 火眼金睛识“肥兔”
“肥兔”木马会通过多种方式向下推广,日均推广量10W+,推广后会通过替换系统文件而长期驻留在系统中,对系统稳定性和用户的隐私安全造成极大的威胁,目前该木马主要是通过流氓推广和浏览器锁主页来实现盈利。
“肥兔”木马至今已感染了数百万台计算机,相当于国内的每300台电脑就有1台中了“肥兔木马”,那么如果判断自己的电脑是否已经中招?管哥教你一招可快速判定:首先打开浏览器,如果发现打开后的完整主页地址为https://www.2345.com/?32420(如图)或https://hao.congcon.com(如图),那么你已经中了“肥兔”木马;如果你最近经常发现电脑被莫名地装上了xx杀毒、xx浏览器、xx桌面,那么你也很可能是中了“肥兔”的埋伏。
主页被设置为https://hao.congcon.com,联网情况下该页面被如下图所示地址:
重定向后的主页: