吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 18511|回复: 260
收起左侧

[PC样本分析] 知名软件火萤视频桌面恶意篡改首页 火绒已拦截

    [复制链接]
火绒安全实验室 发表于 2021-8-26 19:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2021-8-26 19:17 编辑

近期,火绒工程师根据用户反馈,发现火萤视频桌面软件携带恶意组件,执行篡改用户浏览器等恶意行为。由于该软件正在通过其官网和各大下载站进行传播,影响范围较广,根据“火绒威胁情报系统”监测和评估,或以影响超过数百万终端。

火绒用户无需担心,火绒已对火萤视频桌面恶意组件及安装包进行查杀。

Image-4.png
查杀图

根据火绒工程师分析,当用户安装该软件后,启动屏保功能出现屏保遮罩时,恶意程序便会在屏幕后公然执行劫持首页的行为,并让用户无法发现;而当用户卸载该软件时,其卸载程序会立即向远控服务器发送请求询问,并根据服务器返回的信息决定是否在卸载后激活恶意程序,继而驻留在用户电脑上持续作恶。

Image-5.png
受影响的浏览器

此外,火绒工程师溯源发现,无论是用户在官网下载火萤视频桌面软件,还是由下载站下载器等渠道推广安装的该软件,其安装包文件的数字签名信息均相同。

Image-6.png
PConline下载器界面

Image-7.png
安装包文件数字签名信息

一直以来,不乏类似火萤视频桌面的商业软件,通过捆绑、流氓推广、篡改首页、劫持浏览器甚至收集用户隐私等恶意行为,来攫取更多利益,严重侵害用户的正当权益。对于此类恶意软件,火绒一直秉着保护用户权益的理念,进行严格的拦截、查杀。

除此之外,火绒工程师也提醒大家,在安装软件前,可使用安全软件进行查杀。同时,尽量不要在下载站下载软件,避免遭遇捆绑、推广行为。或者开启火绒【程序执行控制】—【下载站下载器】功能,规避因下载器带来的软件安全风险。

以下为恶意模块、组件的详细分析与样本hash:

一、        详细分析
1、卸载时保留恶意程序winhost.exe
当用户执行火萤视频桌面卸载程序时,卸载程序会向配置服务器发送请求,根据回文判断是否将winhost.exe删除。如果保留winhost.exe,将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容,注册表自启设置代码如下图所示:

Image-8.png
请求报文内容

Image-9.png
请求报文解密内容

Image-10.png
注册表自启设置

winhost.exe运行后从服务器获取恶意配置
winhost.exe运行后向服务器请求配置json。通过后续代码判断json字段含义:bu为选择浏览器类型,rs为设置首页方式(模拟点击或修改配置文件),hp中为首页链接。如果rs为1,将先启动屏保遮挡屏幕,再使用模拟快捷键方式操作浏览器设置首页。如果rs为2,通过修改配置文件设置首页。获取配置相关代码如下图所示:

Image-11.png
获取配置

Image-12.png
选择设置主页方式

获取配置后,根据bu的值选择4种浏览器之一,并填充相关信息(运行后解密),如:浏览器可执行文件路径,配置文件路径,设置页面链接等。填充配置文件路径,填充浏览器程序路径代码与解密数据如下图所示:

Image-13.png
填充配置文件路径

Image-14.png
填充浏览器程序路径

Image-15.png
解密后数据


所执行恶意行为:
(1)篡改浏览器配置文件
如果rs等于2,则通过篡改配置文件设置首页(如搜狗浏览器config.xml文件,2345浏览器page_fileV2.dat文件)。查找搜狗浏览器配置关键字位置,调用写配置文件方法代码如下图所示:

Image-16.png
查找搜狗浏览器配置关键字位置

Image-17.png
调用写配置文件方法

(2)通过快捷键篡改主页
如果rs值不等于2,启动浏览器进程,向其发送一系列快捷键打开浏览器主页设置页面,设置剪贴板数据为json的hp字段内容,之后CTRL-V粘贴。启动浏览器进程,调用发送快捷键的函数如下图所示:

Image-18.png
启动浏览器进程

Image-19.png
调用发送快捷键的函数

模拟浏览器键盘快捷键时,依次发送按键CTRL-T,CTRL-L,CTRL-V,回车 ,粘贴进入浏览器主页设置页面地址(如搜狗浏览器:se://settings/?category=general.CustomHomePages),检测浏览器窗口名中“设置“,”选项“关键字判断是否进入设置页面。再从浏览器操作对象偏移为0xdc的字段获取链接地址数据,设置剪贴板数据,发送按键CTRL-A,CTRL-V粘贴。发送按键函数,进入主页设置页面。检测设置页面,设置主页代码如下图所示:

Image-20.png
发送按键函数

Image-21.png
进入主页设置页面

Image-22.png
检测设置页面

Image-23.png
设置主页

2、火萤屏保功能组件中的恶意代码
火萤视频桌面主程序中,设置屏保功能使用了文件“火萤屏保.scr“,其中含有与winhost.exe相同的恶意功能代码。设置屏保,屏保进程启动,对比winhost.exe如下图所示:

Image-24.png
设置屏保

Image-25.png
屏保进程启动

Image-26.png
winhost与火萤屏保.scr代码对比

3、溯源分析
火萤视频桌面软件作者为 “北京众纳鑫海网络技术有限公司”,相关著作权信息如下图所示:

Image-27.png
公司信息

Image-28.png
软件著作信息

二、        附录
样本hash
Image-29.png

免费评分

参与人数 165吾爱币 +157 热心值 +154 收起 理由
kiukiu + 1 + 1 谢谢@Thanks!
无聊网络 + 1 + 1 我很赞同!
lzb85745101 + 1 + 1 我很赞同!
王俊熙 + 1 + 1 用心讨论,共获提升!
Nattevak + 1 + 1 热心回复!
dandaofuhui + 1 + 1 我很赞同!
TianXiaYu + 1 + 1 我很赞同!
Alan66 + 1 我很赞同!
pp67868450 + 2 + 1 用心讨论,共获提升!
saigai + 1 + 1 谢谢@Thanks!
aketer + 1 用心讨论,共获提升!
rueasheep + 1 + 1 我很赞同!
qh36 + 1 + 1 谢谢@Thanks!
csxy999 + 1 + 1 我很赞同!
Daguaishou + 1 + 1 我很赞同!
小火 + 1 + 1 谢谢@Thanks!
yinyuebushifan + 1 + 1 热心回复!
szbiao218 + 1 + 1 我很赞同!
梦古无疆 + 1 + 1 我很赞同!
黄瓜没温度 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
御守御守 + 1 + 1 谢谢@Thanks!
唯耐dzt + 1 + 1 热心回复!
thengcee + 1 + 1 谢谢@Thanks!
三岁就会写BUG + 1 + 1 我很赞同!
SnnlieYing + 1 用心讨论,共获提升!
itachi137 + 1 + 1 热心回复!
Launcelot + 1 + 1 谢谢@Thanks!
半妖ing + 1 + 1 热心回复!
进击的喵星人 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
heartblade + 1 + 1 我很赞同!
3303232005 + 1 我很赞同!
hyqhy + 1 + 1 谢谢@Thanks!
matrixzpc + 1 + 1 谢谢@Thanks!
Jackrong_ + 1 谢谢@Thanks!
树袋熊睡醒了 + 1 + 1 用心讨论,共获提升!
芯河斑斓 + 1 + 1 我很赞同!
开心熊猫741 + 1 + 1 我很赞同!
熟练度不足 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Donbin69 + 1 + 1 我很赞同!
7swu + 1 + 1 谢谢@Thanks!
jack0811 + 1 + 1 谢谢@Thanks!
你就别回头了 + 1 + 1 我很赞同!
丿柒丨丶小宝 + 1 + 1 用心讨论,共获提升!
O大表哥O + 1 + 1 热心回复!
假装在伦敦 + 1 + 1 谢谢@Thanks!
fxdy + 1 + 1 我很赞同!
抱歉、 + 1 这就像是举报贪污腐败一样爽!哈哈哈
marmotbobobo + 1 + 1 我很赞同!
衍方与华 + 1 + 1 热心回复!
handsome-3- + 1 我很赞同!
freeqd + 1 破玩意没听说过 ,这类垃圾从来不用
hblw + 1 + 1 用心讨论,共获提升!
assdqwe123 + 1 + 1 我很赞同!
吾i破解 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
A2407118 + 1 + 1 用心讨论,共获提升!
zixin + 1 + 1 用心讨论,共获提升!
三门语数外 + 1 + 1 用心讨论,共获提升!
K97 + 1 + 1 我很赞同!
丶陈大叔 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
謎烂 + 1 + 1 我很赞同!
lcllfj233 + 1 + 1 热心回复!
Mander + 1 + 1 我很赞同!
石木 + 1 + 1 谢谢@Thanks!
Erlanaaa + 1 + 1 我很赞同!
DancingLight + 1 + 1 鼓励转贴优秀软件安全工具和文档!
小白菜V5 + 1 + 1 谢谢@Thanks!
石头伟 + 1 + 1 谢谢@Thanks!
jnzj4811 + 1 + 1 谢谢@Thanks!
nichenme + 1 + 1 用心讨论,共获提升!
zz110 + 1 + 1 热心回复!
Antik1 + 1 + 1 热心回复!
sankeyou20 + 1 谢谢@Thanks!
schedule + 1 我很赞同!
Make帝 + 1 + 1 谢谢@Thanks!
xuemantian0304 + 1 谢谢@Thanks!
chaoge2le + 1 + 1 我很赞同!
哲思 + 1 + 1 谢谢@Thanks!
pengjun_ge + 1 + 1 谢谢@Thanks!
利多卡因520 + 1 + 1 我很赞同!
lingyan + 1 + 1 热心回复!
颍水畔 + 1 + 1 谢谢@Thanks!
潜水不看书 + 1 + 1 我很赞同!
zj_tj + 1 + 1 谢谢@Thanks!
xylqr + 1 + 1 谢谢@Thanks!
chermy + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
木火曦晨 + 1 热心回复!
萧杀 + 1 + 1 这行为能举报他不?
火炎焱燚灬 + 1 + 1 热心回复!
csyaaa + 1 + 1 谢谢@Thanks!
youjw1996 + 1 + 1 用心讨论,共获提升!
噼咔噼 + 1 + 1 我很赞同!
mogaga + 1 手机用户们,要小心了啊!
小枫丶 + 1 + 1 谢谢@Thanks!
做瑷做的事 + 1 + 1 我很赞同!
KIREI9982 + 1 + 1 谢谢@Thanks!
shixiaoyu + 1 + 1 谢谢@Thanks!
wait_for_you + 1 + 1 用心讨论,共获提升!
xhdxt + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
chenyang33207 + 1 + 1 谢谢@Thanks!
Tweedia + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

安然丶殊途 发表于 2021-8-26 21:37
前排感谢火绒!

另外我想说说一些别的。

有点多,前排先抛结论:我不敢相信国产软件。

作为一个国家承认的半吊子农民工,我想我接触互联网的时间应该算是相对较早的。

勉强自称一位业内人士吧。

我可以跪着说:国产软件大都是免费的。
不管怎么说,软件都是有研发成本的。用着免费的, 当然需要贡献一些价值出来,比如你的隐私信息, 广告等。
觉得火萤锁主页有问题的,steam上有18块钱的Wallpaper Engine,火萤可没拦着你买。
也可以站着说:开发者为软件倾注了大量的精力与感情,却无法以正常渠道获得与其相称的报酬。
要么退出,任由无德软件厂商占领市场;
要么与流氓合作,用不受人欢迎的方式去获得自己本应享有的利益。
用户自身,或许才是造成这一问题的根源,所谓轮回报应,后果如今已由用户自己承受。

但是作为Gooogle的伪粉,爷真的不愿跪着!

不是我瞧不起国产软件(卫道士可以喷我崇洋媚外的可悲的优越感),而是真实的情况让我不敢去信任它。
我想大部分用户都接触过所谓的“一键安装”吧。软件安装程序里有,各类软件管家里更是屡见不鲜。

这很方便,不是吗?  是的,流氓软件也这么认为。

“只需要点一下就够了,蠢货”,不得不说,某些软件厂商已经认识到,中国的绝大部分网民都是”蠢货“。
他们不明白为什么安装软件的时候会给你推荐”免费好用“的金山毒霸,
他们不明白为什么不适用360安全卫士推荐的360安全浏览器,电脑就会存在严重的威胁。

或许有人会说,谷歌的产品不也是一样吗,下载后自动完成部署,甚至你连选择安装文件夹的位置的权力都没有!

是的,但是谷歌并没有让我们失望,不是吗?Google一直坚守的不作恶的政策,让他的口碑一直居高不下,不是吗!

我不敢相信国产软件,或许是因为我已经习惯了在点下一步之后,仔仔细细的检查窗口各个边边角角去取消一个又一个推荐安装,而留下的后遗症吧。

LCG作为一个安全领域技术交流的社区,在这里,我不想谈什么商业利益。
我只想说:我相信还有一些良心的国产软件(例如楼主)和大批的尚在努力奋斗的还未被污染的软件开发者们(例如论坛里的各类大佬)。
但是国产软件真的还有很长很长一段路要走。

最后,以上仅代表我个人的一些看法,或许有些偏激,以及言辞不当。
如果对您造成了不适,我向您道歉。
如果你有不同意见,那肯定你对。



免费评分

参与人数 14吾爱币 +15 热心值 +10 收起 理由
kk52140 + 1 + 1 谷歌和国内APK文件的内容吧,一言难尽
李现在哪 + 1 说gooogle 真是伪粉那人笑死我了!!!哈哈哈哈
lanmming + 1 + 1 我很赞同!
china-loong + 1 说gooogle 真是伪粉那人, 你也是真能扣字眼
taoli123 + 1 + 1 热心回复!
plasniper + 1 能不用就不用
莫奇 + 1 + 1 有利有弊啦,资金不足难免做好一个软件,都要吃饭
lovechoc + 1 + 1 三观很正
Mzb920 + 1 + 1 看的时候记得选中
shangxian555 + 1 + 1 我很赞同!
傻妞. + 1 + 1 支持,吾爱的门槛注册比较高,无脑黑的少,要是其他平台就不敢保证了。
冰棍好烫啊 + 2 + 1 我很赞同!
huangsijun17 + 1 Gooogle,真是伪粉。
坤月十一 + 1 + 1 用心讨论,共获提升!

查看全部评分

网络毛毛虫 发表于 2021-8-27 05:03
安然丶殊途 发表于 2021-8-26 21:37
前排感谢火绒!

另外我想说说一些别的。

其他的同意你,但是谷歌不作恶 我敢苟同, 如果说不恶意植入,就是你说的不作恶,那是不是要求也太低了。 GMS 绑架了几乎一半多的安卓用户,当然,你肯定会说,你可以不用。
wudalang123 发表于 2021-8-26 19:40
《中华人民共和国刑法》

第二百八十六条 【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

免费评分

参与人数 3吾爱币 +1 热心值 +2 收起 理由
freeqd + 1 后果严重是个灵活的机动词。。。。。。。
plasniper + 1 取证困难啊,耗多少人力物力
LXGZJ237 + 1 下次用黑体吧,这个字体看着好难受

查看全部评分

QRQF001 发表于 2021-8-26 19:44
官方肯定又说是临时工干的,这是在试探,和这两天edge浏览器首页广告一个样
visaction 发表于 2021-8-26 19:37
一直以来都不太敢在下载站下载东西,老是担心这个问题。
apkeditor 发表于 2021-8-30 11:26
搞完安卓修改大师又搞火莹!高!当初我做魔伴桌面的时候,火莹是我的竞争产品。
百度搜不到你 发表于 2021-8-26 19:23
高手呀哈哈
幻天~ 发表于 2021-8-26 19:24
之前一直用的软件,竟然暴雷了
秦小谅 发表于 2021-8-26 19:25
已删除该软件,在用酷狗自带的非常nice
飘零星夜 发表于 2021-8-26 19:27
以前是一直无法卸载, 现在这么猖狂了吗,
samz123 发表于 2021-8-26 19:27
临时工要顶锅了
Denon_HL 发表于 2021-8-26 19:37
太顶了!!!!
真的小白 发表于 2021-8-26 19:41
支持火绒,太强大了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表