20多款游戏外挂传播主页劫持木马,影响超10万台电脑

2019-11-12 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂(游戏辅助工具)进行传播,该木马团伙已累计感染超过10万电脑。

一、概述

近期,腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂(游戏辅助工具)进行传播,这些外挂包括:谨哥辅助、极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等。这些木马会劫持浏览器主页、进行广告推广。这些外挂都会欺骗玩家称经过权威杀软检测0报毒,之后自动更新并根据配置文件的设置下载广告木马执行。



根据腾讯安图数据显示,木马服务器地址daohang1.oss-cn-beijing.aliyuncs.com在高峰时期,每天有近一万的访问量,日均4000的访问量。仅从瑾哥辅助一个辅助工具的站长统计数据看,平均每天访问机器数都超过1000。而类似瑾哥辅助用来传播广告木马的外挂,共有20余款,该木马团伙已累计感染超过10万电脑。

传播态势如下:


谨哥辅助工具站长统计数据:


二、详细分析 

该木马团伙包装的多个游戏外挂(辅助工具)运行流程基本一致,运行后通过网络获取配置文件,根据配置文件下载多个木马执行,包括主页劫持木马、广告推广木马等等,此外还会升级自身,其工作流程如下:            

获取配置文件&下载木马  


联网获取配置文件,配置文件的内容主要是下一步要下载文件的地址、文件名、安装目录等信息。目前瑾哥辅助配置文件中下载文件包括LREDH.exe(木马文件,主要作用是进行主页劫持) TheWorld.exe(浏览器进程),安装路径为当前目录的 Tim文件夹


瑾哥辅助&极品辅助配置文件下载地址:

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd 

hxxp://dh.3ayl.cn/jp/jp.jd


瑾哥辅助配置文件内容:


极品辅助配置文件内容包括自更新地址、主页劫持木马、广告推广木马等配置:


根据配置文件中的下载地址下载主页劫持木马,安装在外挂程序当前目录(Tim文件夹下),主页劫持木马下载地址:

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe

主页劫持

主页劫持的套路和常见的主页劫持有点不一样, 常见的主页劫持一般都是通过注册进程创建回调,或者挂钩进程创建相关函数,在浏览器进程启动时进行命令行篡改。而该木马的劫持过程如下:遍历桌面,快速启动栏等文件目录下的浏览器快捷方式,将浏览器快捷方式目标篡改指向主页劫持木马LREDH.exeLREDH.exe再启动浏览器进程根据配置文件里的导航网址进行篡改。

遍历快捷方式后缀lnk,如果是浏览器进程快捷方式则进行篡改:


篡改浏览器快捷方式


劫持导航网址配置:


传播渠道

腾讯安全御见威胁情报中心数据显示,该木马主要通过热门游戏辅助网站进行传播,除了谨哥系列辅助,还包括:极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等超过20款。该木马团伙根据不同的辅助工具匹配不同的劫持导航id(该ID主要用来做流量统计计费)。如瑾哥辅助对应的idjinge.html,jinge-xw 等。


谨哥系列辅助网站:

三、安全建议

1.游戏外挂、辅助工具一直都是各种病毒木马传播的温床,个人用户谨慎使用。

2.使用杀毒软件拦截病毒木马劫持浏览器,不要轻信外挂网站要求关闭杀毒软件再运行的谎话。腾讯电脑管家、腾讯御点终端安全管理系统均可拦截查杀该病毒。

IOC:

MD5:

d85105726e0321f00fbcc4917c32d97c

fe852d90aa84091a1d8d9eabe953c14a

f32ca081e51f85a1f8fbeaa13d4dd059

fbdd60adddb2dfab641e7335e4ecc0cb

fd3dbcdd366d8fa1505c90b65a6a2f29


Url:

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd 

hxxp://dh.3ayl.cn/jp/jp.jd

hxxp://dh.3ayl.cn/jp/shellEx.fne


DNS:

daohang1.oss-cn-beijing.aliyuncs.com

dh.3ayl.cn

bbyz.oss-cn-shanghai.aliyuncs.com

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe

电脑管家 V16

全新上线 更轻更快