後門病毒經過下載站傳播全面劫持各大主流瀏覽器

時間 2019-11-24

原文原文鏈接

1、概述瀏覽器

日前，火絨安全團隊截獲後門病毒"Humpler"。該病毒假裝成多款小工具（如：老闆鍵、屏幕亮度調節等），正經過2345軟件大全等多個知名下載站進行傳播。病毒入侵電腦後，會劫持QQ、360、搜狗等（市面上全部主流）瀏覽器首頁。而且該後門病毒還在不斷更新惡意代碼，不排除將來會向用戶電腦派發更具威脅性病毒的可能性。安全

Humpler病毒假裝成"老闆鍵"、"屏幕亮度調節"等多款小工具。當用戶在2345軟件大全、非凡、PC6等下載站下載並運行上述小工具後，病毒將侵入電腦。隨即彈出彈窗，詢問是否"願意支持"該軟件，若是用戶選擇"支持"，病毒會當即劫持瀏覽器首頁。但即便用戶選擇拒絕，病毒仍會在一天以後劫持用戶的瀏覽器首頁。也就是說，不管用戶選擇願意與否，被感染電腦瀏覽器首頁都會被劫持。服務器

"火絨安全軟件"最新版便可攔截並查殺該病毒。咱們看到這些小工具在下載站中的排名靠前，極易吸引用戶點擊下載。建議近期在上述下載站下載過軟件的用戶，儘快使用"火絨安全軟件"對電腦進行查殺。網絡

2、樣本分析工具

近期，火絨截獲到一批後門病毒樣本，病毒會將本身假裝成小工具（如：超級老闆鍵、超級變聲器、屏幕亮度調節等），並會經過2345軟件大全、非凡下載站、PC6下載站等多個軟件下載站進行傳播。病毒會經過C&C服務器獲取最終惡意代碼，惡意代碼執行後，表面會詢問用戶是否"願意支持"軟件後進行首頁鎖定。但在次日用戶再次啓動該程序時，不論用戶是否選擇"願意支持"都會強行劫持瀏覽器首頁。並且爲了躲避安全廠商查殺，現階段被下發的病毒模塊爲PE頭被簡化過的模塊數據。截至到目前，被下發的病毒模塊數據依然在持續更新，咱們不排除病毒未來會下發其餘病毒模塊的可能性。下載站下載頁面，以下圖所示：線程

軟件下載頁面咱們以超級老闆鍵爲例，病毒代碼執行後會與C&C服務器（www.baidu-home.com和www.2k2u.com）進行通信，請求遠程惡意代碼至本地進行執行。病毒邏輯相關代碼會夾雜在軟件功能代碼中，在獨立線程中執行病毒邏輯。相關代碼，以下圖所示：

病毒代碼位置病毒首先會經過訪問http://www.baidu.com檢測當前的網絡狀態，若是沒法正常聯網，則不會運行病毒流程。以下圖所示：

檢測當前網絡狀態在網絡狀態正常的狀況下，病毒首先會解密出用於請求遠程惡意代碼的相關代碼，並進行執行。以下圖所示：

解密執行代碼邏輯在上述解密後代碼運行時，會經過檢查軟件斷點的方式檢測調試器。相關代碼，以下圖所示：

檢測調試器代碼解密後的病毒代碼，首先會訪問C&C服務器地址（hxxp://www.baidu-home.com/bosskey/checkupdate.txt）獲取惡意代碼下載地址。最終會經過訪問C&C服務器（hxxp://www.2k2u.com/plugin/bosskey/bosskeyupdate.dat）獲取到遠程惡意代碼到內存中加載並執行。最終請求到的惡意代碼，是一個PE頭被精簡過的PE文件，病毒在獲取到惡意代碼後會經過虛擬映射的方式將惡意代碼加載到內存中進行執行。之因此經過C&C服務器下發精簡的PE鏡像數據，而不是下發完整的PE鏡像文件，主要是爲了對抗安全廠商的查殺和安全研究人員的逆向分析。惡意代碼執行後，會彈出窗口詢問用戶是否"願意支持"該軟件，但若是運行日期與註冊表（HKEY_CURRENT_USER\Software\Classes\CLSID{2B53F0A7-3238-4b4d-8582-E53618739C90}\LockDate）中記錄的首次運行日期不一樣時，則會直接執行首頁劫持的代碼邏輯。彈窗截圖，以下圖所示：

彈窗截圖該病毒運行後還會將同目錄下的BosskeyServer.exe註冊爲系統服務，並且BosskeyServer.exe中也包含有與主程序中相同邏輯，在首次運行的次日BosskeyServer.exe則會自動劫持瀏覽器首頁。不過在帶有相同惡意代碼的小工具中，並非全部小工具都會註冊系統服務，對於只有一個病毒模塊的小工具來講，則須要依靠用戶在首次運行的次日執行帶毒程序，纔會在不通過用戶容許的狀況下劫持瀏覽器首頁。最終執行的惡意代碼會經過檢測運行進程、註冊表、調試器和運行日期與分析人員進行對抗，只有在運行日期與首次運行日期不一樣時，纔會繼續執行惡意代碼。被下發病毒模塊的主要代碼邏輯，以下圖所示：