IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

“灵隐”木马黑吃灰:绑架数十款游戏外挂实现恶意推广

发布时间:2017-08-11 15:04文章来源:互联网文章作者: 互联网点击次数:
今年6月,360安全卫士对“灵隐”木马做了预警。最近一段时间,这伙木马又开始活跃,我们也接到不少网友反馈称受到木马干扰,浏览器被篡改,部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。 传播: 此类木马传播,仍然是通过打包修改各种外挂
今年6月,360安全卫士对“灵隐”木马做了预警。最近一段时间,这伙木马又开始活跃,我们也接到不少网友反馈称受到木马干扰,浏览器被篡改,部分软件被删除。我们对这个木马的最新一批传播源做了一次分析。

传播:

此类木马传播,仍然是通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。通过分析传播者的文件列表可以看到作者打包了几十款外挂用来传播这一木马: 作者打包了几十款外挂用来传播这一木马 有近400多个文件分享记录: 有近400多个文件分享记录:

安装:

木马在安装过程中,会检测是否有360杀毒,360安全卫士等安全软件 运行,如果有则木马不进行安装。 这也是木马需要通过外挂打包传播的一个原因,使用外挂时,用户可能会关闭杀毒软件,给木马可乘之机! 使用外挂时,用户可能会关闭杀毒软件 当关闭杀软之后,这个外挂开始下载木马到本地执行j[.]92dz.win:8080/bag/jc_102.zip 当关闭杀软之后,这个外挂开始下载木马到本地执行 分析时捕获的下载木马: 分析时捕获的下载木马 木马释放一对DLL劫持程序 木马释放一对DLL劫持程序 通过注册Installed Components实现开机自启动: 通过注册Installed Components实现开机自启动 之后木马启动svchost.exe并挂起(如果安装有360会试图启动360DeskAna.exe并注入) 之后木马启动svchost.exe并挂起恶意代码写入到svchost.exe内存中并恢复进程 将恶意代码写入到svchost.exe内存中并恢复进程 将恶意代码写入到svchost.exe内存中并恢复进程 将恶意代码写入到svchost.exe内存中并恢复进程

危害:

1. 劫持浏览器,篡改浏览器快捷方式

木马会篡改数十款浏览器的快捷方式,添加导航。 添加导航 向任务栏锁定快捷方式 向任务栏锁定快捷方式

2.删除系统中安装的某些软件。

木马会通过注册表查找ADSafe安装目录,如果发现则结束ADSafe.exe和ADSafeSvc.exe进程,并删除整个ADSafe安装目录(猜测是防止ADSafe影响其推广的导航收入) 木马会通过注册表查找ADSafe安装目录
“灵隐”木马黑吃灰:绑架数十款游戏外挂实现恶意推广
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/1040049.html

标签分类:

上一篇:上一篇:安全公司Carbon Black客户数据泄漏:多家财富1000强企业TB级别隐
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量