社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 531阅读
  • 4回复

[分享]激活工具购买搜索排名 传播“麻辣香锅”变种病毒 火绒已拦截

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770593
飞翔币
207694
威望
215657
飞扬币
2511651
信誉值
8
只看楼主 更多操作 0 发表于: 2021-07-28
作为“灰色软件”,激活工具一直就是网络病毒滋生和传播的一大渠道,甚至一些病毒披着激活工具的外衣,不仅干着损坏用户利益的行为,还嚣张的与安全软件做对抗,并不断升级对抗手段。 就在近日,火绒监测到了一批隐匿在“激活工具”里的“麻辣香锅”病毒变种。和以往不同的是,该版本的病毒除了劫持用户流量以外,还会劫持安全厂商提供的专杀工具的下载地址(如火绒的专杀工具),从而能够长久驻留用户电脑中。<img id="aimg_2315073" aid="2315073" src="https://attach.52pojie.cn/forum/202107/23/181543f655hqp6qt4j465m.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181543f655hqp6qt4j465m.png" file="https://attach.52pojie.cn/forum/202107/23/181543f655hqp6qt4j465m.png" class="zoom" width="303" inpost="1" "="" lazyloaded="true" height="425" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">火绒查杀图目前,火绒已对该版本的“麻辣香锅”病毒以及病毒利用传播的激活工具进行拦截和查杀。已感染该病毒的用户,可以下载火绒专杀工具清除病毒,同时配合火绒【全盘扫描】功能彻底查杀该病毒。(专杀下载地址:https://bbs.huorong.cn/thread-18575-1-1.html) 一、病毒溯源火绒工程师对此次版本“麻辣香锅”病毒进行详细分析: 恶意代码执行流程,如下图所示:<img id="aimg_2315074" aid="2315074" src="https://attach.52pojie.cn/forum/202107/23/181546eyyjeb0y2yjhz2hg.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181546eyyjeb0y2yjhz2hg.png" file="https://attach.52pojie.cn/forum/202107/23/181546eyyjeb0y2yjhz2hg.png" class="zoom" width="893" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">恶意代码执行流程 病毒驱动主要逻辑,如下图所示:<img id="aimg_2315075" aid="2315075" src="https://attach.52pojie.cn/forum/202107/23/181548uiz9qy3jrnry79vg.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181548uiz9qy3jrnry79vg.png" file="https://attach.52pojie.cn/forum/202107/23/181548uiz9qy3jrnry79vg.png" class="zoom" width="829" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;"> 病毒驱动主要逻辑病毒执行的具体行为过程:首先,上述激活工具启动后,会检测杀软进程,诱导用户退出杀软。如下图所示:<img id="aimg_2315076" aid="2315076" src="https://attach.52pojie.cn/forum/202107/23/181550fcwc3g0zko6dsjcj.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181550fcwc3g0zko6dsjcj.png" file="https://attach.52pojie.cn/forum/202107/23/181550fcwc3g0zko6dsjcj.png" class="zoom" width="763" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">检测杀软进程,诱导用户退出杀软被检测的安全软件,如下图所示:<img id="aimg_2315077" aid="2315077" src="https://attach.52pojie.cn/forum/202107/23/181552dns55r8sr5nf8v58.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181552dns55r8sr5nf8v58.png" file="https://attach.52pojie.cn/forum/202107/23/181552dns55r8sr5nf8v58.png" class="zoom" width="411" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">被检测的安全软件紧接着,当用户在退出杀软,并成功安装激活工具的情况下,病毒同时也被激活,释放bf.exe。被bf.exe释放的文件及用途,如下图所示:<img id="aimg_2315078" aid="2315078" src="https://attach.52pojie.cn/forum/202107/23/181554gtieq11is61pwp26.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181554gtieq11is61pwp26.png" file="https://attach.52pojie.cn/forum/202107/23/181554gtieq11is61pwp26.png" class="zoom" width="795" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">被bf.exe释放的文件最后,病毒将会执行以下几个恶意行为:(1)流量劫持该病毒会根据劫持规则,劫持相关网站,具体过程如下: 病毒驱动会将恶意代码注入到svchost.exe进程中,之后病毒驱动会将所有网络流量数据发送到被注入的svchost.exe进程,由恶意代码判断网络流量数据和进程名称是否满足劫持条件。只有进程和网络流量数据同时满足劫持条件时,才会执行劫持逻辑。被注入进程与病毒驱动设备情况,如下图所示:<img id="aimg_2315079" aid="2315079" src="https://attach.52pojie.cn/forum/202107/23/181556l42f1mxgf4nq41ww.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181556l42f1mxgf4nq41ww.png" file="https://attach.52pojie.cn/forum/202107/23/181556l42f1mxgf4nq41ww.png" class="zoom" width="965" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;"><img id="aimg_2315080" aid="2315080" src="https://attach.52pojie.cn/forum/202107/23/181558xs90b9nzf3655zkb.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181558xs90b9nzf3655zkb.png" file="https://attach.52pojie.cn/forum/202107/23/181558xs90b9nzf3655zkb.png" class="zoom" width="1080" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">注入恶意代码到svchost.exe进程中 病毒驱动劫持流量代码,如下图所示:<img id="aimg_2315081" aid="2315081" src="https://attach.52pojie.cn/forum/202107/23/181601pggj35pezed5pyi5.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181601pggj35pezed5pyi5.png" file="https://attach.52pojie.cn/forum/202107/23/181601pggj35pezed5pyi5.png" class="zoom" width="861" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">劫持流量代码病毒驱动把获取到的网络流量数据发送到“svchost.exe”,让其判断是否劫持用户流量数据,如下图所示:<img id="aimg_2315082" aid="2315082" src="https://attach.52pojie.cn/forum/202107/23/181603euyqgezojwwxr0sj.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181603euyqgezojwwxr0sj.png" file="https://attach.52pojie.cn/forum/202107/23/181603euyqgezojwwxr0sj.png" class="zoom" width="953" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">检测用户流量数据根据正则匹配劫持的网址格式,如下图所示:<img id="aimg_2315083" aid="2315083" src="https://attach.52pojie.cn/forum/202107/23/181605twyzzmieshliombh.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181605twyzzmieshliombh.png" file="https://attach.52pojie.cn/forum/202107/23/181605twyzzmieshliombh.png" class="zoom" width="677" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">劫持的网址格式规则匹配成功后会篡改用户流量数据,比如下载火绒专杀工具会被篡改成跳转到火绒官网,如下图所示:<img id="aimg_2315084" aid="2315084" src="https://attach.52pojie.cn/forum/202107/23/181607h9ok4on4c9o1cyez.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181607h9ok4on4c9o1cyez.png" file="https://attach.52pojie.cn/forum/202107/23/181607h9ok4on4c9o1cyez.png" class="zoom" width="815" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">篡改用户流量数据相关代码<img id="aimg_2315085" aid="2315085" src="https://attach.52pojie.cn/forum/202107/23/181609ujmss3m3q33mqlsk.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181609ujmss3m3q33mqlsk.png" file="https://attach.52pojie.cn/forum/202107/23/181609ujmss3m3q33mqlsk.png" class="zoom" width="909" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">篡改用户流量数据(2)劫持浏览器启动参数病毒驱动的进程启动回调一旦检测到有浏览器进程启动,就会对其注入恶意代码,劫持浏览器首页。受该病毒影响的浏览器进程,如下图所示:<img id="aimg_2315086" aid="2315086" src="https://attach.52pojie.cn/forum/202107/23/181611wrxfxvxjnjejde7f.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181611wrxfxvxjnjejde7f.png" file="https://attach.52pojie.cn/forum/202107/23/181611wrxfxvxjnjejde7f.png" class="zoom" width="631" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">受该病毒影响的浏览器进程 注入恶意代码劫持浏览器启动参数,相关进程钩子情况,如下图所示:<img id="aimg_2315087" aid="2315087" src="https://attach.52pojie.cn/forum/202107/23/181613bl43nntcdkcecc54.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181613bl43nntcdkcecc54.png" file="https://attach.52pojie.cn/forum/202107/23/181613bl43nntcdkcecc54.png" class="zoom" width="1080" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">注入恶意代码劫持浏览器启动参数(3)篡改浏览器配置该病毒会释放各类浏览器配置文件,篡改浏览器收藏夹,如下图所示:<img id="aimg_2315088" aid="2315088" src="https://attach.52pojie.cn/forum/202107/23/181615tfpxrffjnbpxmnwi.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181615tfpxrffjnbpxmnwi.png" file="https://attach.52pojie.cn/forum/202107/23/181615tfpxrffjnbpxmnwi.png" class="zoom" width="407" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">被篡改的浏览器收藏夹情况 受到此恶意行为影响的浏览器,如下图所示:<img id="aimg_2315089" aid="2315089" src="https://attach.52pojie.cn/forum/202107/23/181617oe3x4rjudf1su23c.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181617oe3x4rjudf1su23c.png" file="https://attach.52pojie.cn/forum/202107/23/181617oe3x4rjudf1su23c.png" class="zoom" width="759" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">受影响的浏览器 总的来说,此次激活工具携带的“麻辣香锅”病毒,将会给用户带来以下这样几个危害后果:其一:诱惑用户退出杀软,影响用户的正常网络安全。其二:劫持流量,会拖慢用户计算机的网络访问速度。其三:病毒在用户浏览器收藏夹中添加自己的推广网址。其四:病毒劫持安全厂商的专杀下载地址,持续存在于受害者设备上,长期影响用户终端的信息安全。二、激活工具溯源火绒工程师又对传播上述激活工具网站进行溯源,发现该网站提供多个激活工具的下载,经分析后发现均携带文中提及的“麻辣香锅”病毒。并且,在该网站首页显眼位置,就有提示用户退出安全软件的提示和关闭防护的教程;而在网站底部,则有各类安全检测证明的标识。<img id="aimg_2315090" aid="2315090" src="https://attach.52pojie.cn/forum/202107/23/181620zzlfnke31ndz1lnt.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181620zzlfnke31ndz1lnt.png" file="https://attach.52pojie.cn/forum/202107/23/181620zzlfnke31ndz1lnt.png" class="zoom" width="1080" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;"><img id="aimg_2315091" aid="2315091" src="https://attach.52pojie.cn/forum/202107/23/181622py20hp2ff19q9jy1.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181622py20hp2ff19q9jy1.png" file="https://attach.52pojie.cn/forum/202107/23/181622py20hp2ff19q9jy1.png" class="zoom" width="1079" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">而更讽刺的是,该网站还在搜索引擎上购买排名,引导用户下载带毒的激活工具。在搜索“激活工具”“系统激活”等关键词时,均可以在首页首条发现其推广信息。而根据“火绒威胁情报系统”监测,已有数万用户通过该网站的激活工具,感染“麻辣香锅”病毒。<img id="aimg_2315092" aid="2315092" src="https://attach.52pojie.cn/forum/202107/23/181624as44l4644ikqil4e.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181624as44l4644ikqil4e.png" file="https://attach.52pojie.cn/forum/202107/23/181624as44l4644ikqil4e.png" class="zoom" width="899" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;"> <img id="aimg_2315093" aid="2315093" src="https://attach.52pojie.cn/forum/202107/23/181627krggkc4m7xkkkt1i.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181627krggkc4m7xkkkt1i.png" file="https://attach.52pojie.cn/forum/202107/23/181627krggkc4m7xkkkt1i.png" class="zoom" width="915" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">购买搜索排名 目前,火绒已对该网站进行拦截。<img id="aimg_2315094" aid="2315094" src="https://attach.52pojie.cn/forum/202107/23/181629xzghaw96hacgfgff.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181629xzghaw96hacgfgff.png" file="https://attach.52pojie.cn/forum/202107/23/181629xzghaw96hacgfgff.png" class="zoom" width="577" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">实际上,利用激活工具传播病毒或捆绑流氓软件,攫取、损坏用户的利益,已经成为当下成熟的灰色产业,火绒也一直在对此类散播病毒的渠道进行披露曝光,并及时升级查杀拦截规则,帮助用户避免遭遇病毒侵害。在此,我们也提醒广大网友,尽量不要使用激活工具等灰色软件,切勿在没有安装安全软件情况下点击不明来源的软件,如果有任何问题,可随时寻求火绒工程师的帮助。三、病毒hash<img id="aimg_2315095" aid="2315095" src="https://attach.52pojie.cn/forum/202107/23/181631ovh0o3d37sy7myh3.png" zoomfile="https://attach.52pojie.cn/forum/202107/23/181631ovh0o3d37sy7myh3.png" file="https://attach.52pojie.cn/forum/202107/23/181631ovh0o3d37sy7myh3.png" class="zoom" width="781" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">四、补充阅读链接(1)激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件https://www.huorong.cn/safe/1589959298477.html(2)一文揭露各类劫持浏览器主页手段 附火绒修复方式https://www.huorong.cn/info/1606367590557.html
关键词: 系统 下载 软件 提供 安全
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837218
飞翔币
228805
威望
224673
飞扬币
2465907
信誉值
0
只看该作者 1 发表于: 2021-07-28
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837218
飞翔币
228805
威望
224673
飞扬币
2465907
信誉值
0
只看该作者 2 发表于: 2021-07-28
不错,了解了
回复 引用
举报
ddwg0818
级别: 终身优会
发帖
297783
飞翔币
337
威望
4028
飞扬币
25498
信誉值
0
只看该作者 3 发表于: 2021-08-11
感谢大佬分享
回复 引用
举报
ddwg0818
级别: 终身优会
发帖
297783
飞翔币
337
威望
4028
飞扬币
25498
信誉值
0
只看该作者 4 发表于: 2021-08-11
感谢楼主分享!飞扬有你更精彩!
回复 引用
举报
发帖 回复
« 返回列表