知名軟件火螢視頻桌面惡意篡改首頁火絨已攔截

wxsjbcf 2021-08-26

展開全文

近期，火絨工程師根據(jù)用戶反饋，發(fā)現(xiàn)火螢視頻桌面軟件攜帶惡意組件，執(zhí)行篡改用戶瀏覽器等惡意行為。由于該軟件正在通過其官網(wǎng)和各大下載站進(jìn)行傳播，影響范圍較廣，根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估，或影響超過數(shù)百萬終端。

火絨用戶無需擔(dān)心，火絨已對(duì)火螢視頻桌面惡意組件及安裝包進(jìn)行查殺。

查殺圖

根據(jù)火絨工程師分析，當(dāng)用戶安裝該軟件后，啟動(dòng)屏保功能出現(xiàn)屏保遮罩時(shí)，惡意程序便會(huì)在屏幕后公然執(zhí)行劫持首頁的行為，并讓用戶無法發(fā)現(xiàn)；而當(dāng)用戶卸載該軟件時(shí)，其卸載程序會(huì)立即向遠(yuǎn)控服務(wù)器發(fā)送請(qǐng)求詢問，并根據(jù)服務(wù)器返回的信息決定是否在卸載后激活惡意程序，繼而駐留在用戶電腦上持續(xù)作惡。

受影響的瀏覽器

此外，火絨工程師溯源發(fā)現(xiàn)，無論是用戶在官網(wǎng)下載火螢視頻桌面軟件，還是由下載站下載器等渠道推廣安裝的該軟件，其安裝包文件的數(shù)字簽名信息均相同。

PConline下載器界面

安裝包文件數(shù)字簽名信息

一直以來，不乏類似火螢視頻桌面的商業(yè)軟件，通過捆綁、流氓推廣、篡改首頁、劫持瀏覽器甚至收集用戶隱私等惡意行為，來攫取更多利益，嚴(yán)重侵害用戶的正當(dāng)權(quán)益。對(duì)于此類惡意軟件，火絨一直秉著保護(hù)用戶權(quán)益的理念，進(jìn)行嚴(yán)格的攔截、查殺。

除此之外，火絨工程師也提醒大家，在安裝軟件前，可使用安全軟件進(jìn)行查殺。同時(shí)，盡量不要在下載站下載軟件，避免遭遇捆綁、推廣行為?；蛘唛_啟火絨【程序執(zhí)行控制】—【下載站下載器】功能，規(guī)避因下載器帶來的軟件安全風(fēng)險(xiǎn)。

以下為惡意模塊、組件的詳細(xì)分析與樣本hash：

一、詳細(xì)分析

1、卸載時(shí)保留惡意程序winhost.exe

當(dāng)用戶執(zhí)行火螢視頻桌面卸載程序時(shí)，卸載程序會(huì)向配置服務(wù)器發(fā)送請(qǐng)求，根據(jù)回文判斷是否將winhost.exe刪除。如果保留winhost.exe，將在注冊(cè)表中設(shè)置winhost.exe為自啟動(dòng)項(xiàng)。請(qǐng)求報(bào)文內(nèi)容與解密內(nèi)容，注冊(cè)表自啟設(shè)置代碼如下圖所示：

請(qǐng)求報(bào)文內(nèi)容

請(qǐng)求報(bào)文解密內(nèi)容

注冊(cè)表自啟設(shè)置

winhost.exe運(yùn)行后從服務(wù)器獲取惡意配置

winhost.exe運(yùn)行后向服務(wù)器請(qǐng)求配置json。通過后續(xù)代碼判斷json字段含義：bu為選擇瀏覽器類型，rs為設(shè)置首頁方式（模擬點(diǎn)擊或修改配置文件），hp中為首頁鏈接。如果rs為1，將先啟動(dòng)屏保遮擋屏幕，再使用模擬快捷鍵方式操作瀏覽器設(shè)置首頁。如果rs為2，通過修改配置文件設(shè)置首頁。獲取配置相關(guān)代碼如下圖所示：

獲取配置

選擇設(shè)置主頁方式

獲取配置后，根據(jù)bu的值選擇4種瀏覽器之一，并填充相關(guān)信息（運(yùn)行后解密），如：瀏覽器可執(zhí)行文件路徑，配置文件路徑，設(shè)置頁面鏈接等。填充配置文件路徑，填充瀏覽器程序路徑代碼與解密數(shù)據(jù)如下圖所示：

填充配置文件路徑

填充瀏覽器程序路徑

解密后數(shù)據(jù)

所執(zhí)行惡意行為：

（1）篡改瀏覽器配置文件

如果rs等于2，則通過篡改配置文件設(shè)置首頁（如搜狗瀏覽器config.xml文件，2345瀏覽器page_fileV2.dat文件）。查找搜狗瀏覽器配置關(guān)鍵字位置，調(diào)用寫配置文件方法代碼如下圖所示：

查找搜狗瀏覽器配置關(guān)鍵字位置

調(diào)用寫配置文件方法

（2）通過快捷鍵篡改主頁

如果rs值不等于2，啟動(dòng)瀏覽器進(jìn)程，向其發(fā)送一系列快捷鍵打開瀏覽器主頁設(shè)置頁面，設(shè)置剪貼板數(shù)據(jù)為json的hp字段內(nèi)容，之后CTRL-V粘貼。啟動(dòng)瀏覽器進(jìn)程，調(diào)用發(fā)送快捷鍵的函數(shù)如下圖所示：

啟動(dòng)瀏覽器進(jìn)程

調(diào)用發(fā)送快捷鍵的函數(shù)

模擬瀏覽器鍵盤快捷鍵時(shí)，依次發(fā)送按鍵CTRL-T，CTRL-L，CTRL-V，回車，粘貼進(jìn)入瀏覽器主頁設(shè)置頁面地址（如搜狗瀏覽器：se://settings/?category=general.CustomHomePages），檢測(cè)瀏覽器窗口名中“設(shè)置“，”選項(xiàng)“關(guān)鍵字判斷是否進(jìn)入設(shè)置頁面。再?gòu)臑g覽器操作對(duì)象偏移為0xdc的字段獲取鏈接地址數(shù)據(jù)，設(shè)置剪貼板數(shù)據(jù)，發(fā)送按鍵CTRL-A，CTRL-V粘貼。發(fā)送按鍵函數(shù)，進(jìn)入主頁設(shè)置頁面，檢測(cè)設(shè)置頁面，設(shè)置主頁代碼如下圖所示：

發(fā)送按鍵函數(shù)

進(jìn)入主頁設(shè)置頁面

檢測(cè)設(shè)置頁面

設(shè)置主頁

2、火螢屏保功能組件中的惡意代碼

火螢視頻桌面主程序中，設(shè)置屏保功能使用了文件“火螢屏保.scr“，其中含有與winhost.exe相同的惡意功能代碼。設(shè)置屏保，屏保進(jìn)程啟動(dòng)，對(duì)比winhost.exe如下圖所示：

設(shè)置屏保

屏保進(jìn)程啟動(dòng)

winhost與火螢屏保.scr代碼對(duì)比

3、溯源分析

火螢視頻桌面軟件作者為 “北京眾納鑫海網(wǎng)絡(luò)技術(shù)有限公司”，相關(guān)著作權(quán)信息如下圖所示：

公司信息

軟件著作信息

二、附錄

樣本hash

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： wxsjbcf > 《安全》

舉報(bào)/認(rèn)領(lǐng)