一、概述
腾讯安全御见威胁情报中心检测到,近期有大量恶意篡改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂传播,借助“简压”庞大的用户基数,很短时间内已感染国内超5万台电脑。为避免被安全软件监测系统发现,该违规插件会刻意避开北上广等11个城市不发作,本次恶意行为的目的是在双11电商节之前通过劫持用户浏览器牟利。腾讯电脑管家可以查杀该恶意插件,受害网民也可以通过腾讯电脑管家的软件管理,卸载不需要的软件。
可使用腾讯电脑管家查杀恶意插件
详细分析发现,该系列恶意行为在进行恶意劫持操作时十分小心,会判断用户系统环境,规避安全软件、分析工具是否在运行,是否在软件调试环境等等。同时,恶意篡改劫持用户浏览器的行为还会避开北上广、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥等城市。
监测数据显示,该恶意插件近期感染呈明显上升
监测数据显示受害电脑分布在全国各地,山东、河北、广东受害严重
二、分析
简压安装完毕后,其目录中的JZipMenu*.dll功能模块将被注入到系统Explorer进程中
恶意劫持插件注入资源管理器进程
JZipMenu*.dll模块则读取自身目录下的配置文件,访问云端gif配置文件解码解析后进行下载执行推装,广告弹窗等行为。
软件使用当前配置地址为i.exrnybuf.cn
御见威胁情报中心检测到恶意插件使用的大量配置信息路径,对其获取到的配置GIF文件进行Base64解码,Zlib解压缩后得到明文配置信息
查看配置信息,其中除去正常的Tips弹窗信息外,还包含了一个名为appupdui的配置字段,该字段中包含了下载器推广程序appupdui.exe,该文件作为软件升级模块将推广Exe字段内的若干款软件,其中有10余款软件均为静默安装包。有两个推广项运行后会默认篡改用户浏览器主页,安装浏览器购物推荐插件,程序推广时还会检测城市信息、判断安全软件是否运行、是否处于软件调试环境等等。
环境判断进程列表(主要规避安全软件分析工具进程信息,安全软件进程信息,调试环境进程信息等):
ethereal、fiddler、httpanalyzer、httpwatch、ipanalyse、minisniffer、smsniff、sniffer、wireshark、postman、vmware-hostd、vmnetdhcp、vmnat、vmware-authd、
hipstray、dbgview、depends、idag、mstsc、myccl、ollydbg、windbg、pchunter、ollyice、totalcmd、xuetr、zhudongfangyu、hipstray、360sd、360RealPro、360rp、360tray、360Safe、safeboxTray、360safebox、360leakfixer、procexp、ksafetray、kxescore。
地域判断进程列表:
北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥
File656=lock_all.exe文件被拉取执行后,将访问云端配置hxxp://api2.ttp1.cn/api/sc/all/sc.json,根据云配置篡改浏览器主页和浏览器收藏夹。
下图为其配置信息,当监测到以下进程相关关键字时,不执行浏览器修改恶意行为:
"zhudongfangyu、hipstray、360sd、360RealPro、360rp、360tray、360Safe、safeboxTray、360safebox、360leakfixer、ksafetray、kxescore、qqpcrtp"。
执行浏览器篡改操作时,会将主页设置为以下网址中的一个,以下4个地址均会解析到不同的推广导航站:
11.tth8.cn、61.tth8.cn、35.tth8.cn、ss.tth8.cn
如下图为浏览器主页被恶意修改到35.tth8.cn,随后被解析到带尾号33632(推广计费ID)的推广主页,其收藏地址栏中也同时被添加带其推广计费ID的淘宝,京东,携程等网站快捷方式。如果用户通过这里访问电商网站,每次购物均会让恶意插件控制者获得佣金。
File621=crx_lqg_jy.exe安装后将会安装一个名为购物券的浏览器插件,该插件在访问购物站点时,对用户进行优惠券推荐,商品推荐,同样通过电商交易获得佣金分成,会引导用户访问到佣金高的店铺,从而干扰了用户购物自由选择权。
三、解决方案
下周一就是双11电商购物节,预计这个周末会成为恶意浏览器插件最活跃的周末,腾讯安全专家建议用户启用安全软件的实时防护功能保护系统,避免安装恶意软件导致浏览器被篡改。
建议网友通过腾讯电脑管家的软件管理功能搜索寻找需要的软件,电脑管家应用商店的审核机制会尽量避免用户遭遇欺骗下载,同时可以拦截违规软件的捆绑安装、恶意弹窗等影响使用体验的行为。
IOCs
URL:
hxxp://i.exrnybuf.cn/zip/read.php/v_2/t_app/n_jyzip*.gif
hxxp://api2.ttp1.cn/api/sc/all/sc.json
主页劫持解析域名:
11.tth8.cn
61.tth8.cn
35.tth8.cn
ss.tth8.cn
MD5:
21bdcef9bf30a28a04900a8faadc5225
939d1bffea2febfc93b72fe201a8df44
cfb9af58958ae74ee90f4c95cfbde121
a75bd0c0c261235982572b5808ff12d1
0e21d6f68f2b7f1adaaf19ab0348c1a4
5a3df3cf4b724fb07caa2944718aef0f
5af657c7af4de6031c49fd6a645e451a
7bb73ab8f45225d53062893af3c6bea7
7eb8d4aee6618999a0f488a5f38ca60f
823e449f9899b907c446308d471f3ae3
a2a1b2bd55c79274779b180918737c6f
a5f45f434aca3ef38cb88fa11e793ca8
c0f476c53f0a0449ba702e99bf47c772
d073b1134ff858dcad6f430ddc38bc90
