一、概述

近期，腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂（游戏辅助工具）进行传播，这些外挂包括：谨哥辅助、极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等。这些木马会劫持浏览器主页、进行广告推广。这些外挂都会欺骗玩家称经过权威杀软检测0报毒，之后自动更新并根据配置文件的设置下载广告木马执行。

根据腾讯安图数据显示，木马服务器地址daohang1.oss-cn-beijing.aliyuncs.com在高峰时期，每天有近一万的访问量，日均4000的访问量。仅从瑾哥辅助一个辅助工具的站长统计数据看，平均每天访问机器数都超过1000。而类似瑾哥辅助用来传播广告木马的外挂，共有20余款，该木马团伙已累计感染超过10万电脑。

传播态势如下：

谨哥辅助工具站长统计数据：

二、详细分析 

该木马团伙包装的多个游戏外挂（辅助工具）运行流程基本一致，运行后通过网络获取配置文件，根据配置文件下载多个木马执行，包括主页劫持木马、广告推广木马等等，此外还会升级自身，其工作流程如下：            

获取配置文件&下载木马  

联网获取配置文件，配置文件的内容主要是下一步要下载文件的地址、文件名、安装目录等信息。目前瑾哥辅助配置文件中下载文件包括LREDH.exe(木马文件，主要作用是进行主页劫持)， TheWorld.exe(浏览器进程)，安装路径为当前目录的 Tim文件夹

瑾哥辅助&极品辅助配置文件下载地址：

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd 

hxxp://dh.3ayl.cn/jp/jp.jd

瑾哥辅助配置文件内容：

极品辅助配置文件内容包括自更新地址、主页劫持木马、广告推广木马等配置:

根据配置文件中的下载地址下载主页劫持木马，安装在外挂程序当前目录（Tim文件夹下），主页劫持木马下载地址：

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe

主页劫持

主页劫持的套路和常见的主页劫持有点不一样， 常见的主页劫持一般都是通过注册进程创建回调，或者挂钩进程创建相关函数，在浏览器进程启动时进行命令行篡改。而该木马的劫持过程如下：遍历桌面，快速启动栏等文件目录下的浏览器快捷方式，将浏览器快捷方式目标篡改指向主页劫持木马LREDH.exe，LREDH.exe再启动浏览器进程根据配置文件里的导航网址进行篡改。

遍历快捷方式后缀lnk,如果是浏览器进程快捷方式则进行篡改:

篡改浏览器快捷方式

劫持导航网址配置：

传播渠道

腾讯安全御见威胁情报中心数据显示，该木马主要通过热门游戏辅助网站进行传播，除了谨哥系列辅助，还包括：极品辅助盒子、南瓜辅助、逍遥游戏助手、魔神辅助等超过20款。该木马团伙根据不同的辅助工具匹配不同的劫持导航id（该ID主要用来做流量统计计费）。如瑾哥辅助对应的id为jinge.html,jinge-xw 等。

谨哥系列辅助网站：

三、安全建议

1.游戏外挂、辅助工具一直都是各种病毒木马传播的温床，个人用户谨慎使用。

2.使用杀毒软件拦截病毒木马劫持浏览器，不要轻信外挂网站要求关闭杀毒软件再运行的谎话。腾讯电脑管家、腾讯御点终端安全管理系统均可拦截查杀该病毒。

IOC:

MD5:

d85105726e0321f00fbcc4917c32d97c

fe852d90aa84091a1d8d9eabe953c14a

f32ca081e51f85a1f8fbeaa13d4dd059

fbdd60adddb2dfab641e7335e4ecc0cb

fd3dbcdd366d8fa1505c90b65a6a2f29

Url:

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/dh.jd 

hxxp://dh.3ayl.cn/jp/jp.jd

hxxp://dh.3ayl.cn/jp/shellEx.fne

DNS:

daohang1.oss-cn-beijing.aliyuncs.com

dh.3ayl.cn

bbyz.oss-cn-shanghai.aliyuncs.com

hxxps://daohang1.oss-cn-beijing.aliyuncs.com/dh_pz/LREDH.exe