双11剁手节前小心浏览器被劫持,腾讯电脑管家可以查杀

2019-11-08 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心检测到,近期有大量恶意篡改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂传播,借助“简压”庞大的用户基数,很短时间内已感染国内超5万台电脑。为避免被安全软件监测系统发现,该违规插件会刻意避开北上广等11个城市不发作,本次恶意行为的目的是在双11电商节之前通过劫持用户浏览器牟利。

一、概述

腾讯安全御见威胁情报中心检测到,近期有大量恶意篡改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂传播,借助“简压”庞大的用户基数,很短时间内已感染国内超5万台电脑。为避免被安全软件监测系统发现,该违规插件会刻意避开北上广等11个城市不发作,本次恶意行为的目的是在双11电商节之前通过劫持用户浏览器牟利。腾讯电脑管家可以查杀该恶意插件,受害网民也可以通过腾讯电脑管家的软件管理,卸载不需要的软件。

可使用腾讯电脑管家查杀恶意插件

详细分析发现,该系列恶意行为在进行恶意劫持操作时十分小心,会判断用户系统环境,规避安全软件、分析工具是否在运行,是否在软件调试环境等等。同时,恶意篡改劫持用户浏览器的行为还会避开北上广、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥等城市。

监测数据显示,该恶意插件近期感染呈明显上升

监测数据显示受害电脑分布在全国各地,山东、河北、广东受害严重

二、分析

简压安装完毕后,其目录中的JZipMenu*.dll功能模块将被注入到系统Explorer进程中

恶意劫持插件注入资源管理器进程

JZipMenu*.dll模块则读取自身目录下的配置文件,访问云端gif配置文件解码解析后进行下载执行推装,广告弹窗等行为。


软件使用当前配置地址为i.exrnybuf.cn



御见威胁情报中心检测到恶意插件使用的大量配置信息路径,对其获取到的配置GIF文件进行Base64解码,Zlib解压缩后得到明文配置信息


查看配置信息,其中除去正常的Tips弹窗信息外,还包含了一个名为appupdui的配置字段,该字段中包含了下载器推广程序appupdui.exe,该文件作为软件升级模块将推广Exe字段内的若干款软件,其中有10余款软件均为静默安装包。有两个推广项运行后会默认篡改用户浏览器主页,安装浏览器购物推荐插件,程序推广时还会检测城市信息、判断安全软件是否运行、是否处于软件调试环境等等。


环境判断进程列表(主要规避安全软件分析工具进程信息,安全软件进程信息,调试环境进程信息等):

ethereal、fiddlerhttpanalyzerhttpwatchipanalyseminisniffersmsniffsnifferwiresharkpostmanvmware-hostdvmnetdhcpvmnatvmware-authd

hipstray、dbgviewdependsidagmstscmycclollydbgwindbgpchunterollyicetotalcmdxuetrzhudongfangyuhipstray360sd360RealPro360rp360tray360SafesafeboxTray360safebox360leakfixerprocexpksafetraykxescore


地域判断进程列表:

北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥

File656=lock_all.exe文件被拉取执行后,将访问云端配置hxxp://api2.ttp1.cn/api/sc/all/sc.json,根据云配置篡改浏览器主页和浏览器收藏夹。


下图为其配置信息,当监测到以下进程相关关键字时,不执行浏览器修改恶意行为:

"zhudongfangyu、hipstray360sd360RealPro360rp360tray360SafesafeboxTray360safebox360leakfixerksafetraykxescoreqqpcrtp"


执行浏览器篡改操作时,会将主页设置为以下网址中的一个,以下4个地址均会解析到不同的推广导航站:

11.tth8.cn、61.tth8.cn35.tth8.cnss.tth8.cn

如下图为浏览器主页被恶意修改到35.tth8.cn,随后被解析到带尾号33632(推广计费ID)的推广主页,其收藏地址栏中也同时被添加带其推广计费ID的淘宝,京东,携程等网站快捷方式。如果用户通过这里访问电商网站,每次购物均会让恶意插件控制者获得佣金。

File621=crx_lqg_jy.exe安装后将会安装一个名为购物券的浏览器插件,该插件在访问购物站点时,对用户进行优惠券推荐,商品推荐,同样通过电商交易获得佣金分成,会引导用户访问到佣金高的店铺,从而干扰了用户购物自由选择权。

三、解决方案

下周一就是双11电商购物节,预计这个周末会成为恶意浏览器插件最活跃的周末,腾讯安全专家建议用户启用安全软件的实时防护功能保护系统,避免安装恶意软件导致浏览器被篡改。


建议网友通过腾讯电脑管家的软件管理功能搜索寻找需要的软件,电脑管家应用商店的审核机制会尽量避免用户遭遇欺骗下载,同时可以拦截违规软件的捆绑安装、恶意弹窗等影响使用体验的行为。

IOCs

URL

hxxp://i.exrnybuf.cn/zip/read.php/v_2/t_app/n_jyzip*.gif

hxxp://api2.ttp1.cn/api/sc/all/sc.json

主页劫持解析域名:

11.tth8.cn

61.tth8.cn

35.tth8.cn

ss.tth8.cn

MD5:

21bdcef9bf30a28a04900a8faadc5225

939d1bffea2febfc93b72fe201a8df44

cfb9af58958ae74ee90f4c95cfbde121

a75bd0c0c261235982572b5808ff12d1

0e21d6f68f2b7f1adaaf19ab0348c1a4

5a3df3cf4b724fb07caa2944718aef0f

5af657c7af4de6031c49fd6a645e451a

7bb73ab8f45225d53062893af3c6bea7

7eb8d4aee6618999a0f488a5f38ca60f

823e449f9899b907c446308d471f3ae3

a2a1b2bd55c79274779b180918737c6f

a5f45f434aca3ef38cb88fa11e793ca8

c0f476c53f0a0449ba702e99bf47c772

d073b1134ff858dcad6f430ddc38bc90

电脑管家V13.3

权限雷达全新升级

详情>>

版本更新:2019.5.6