吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9191|回复: 97
上一主题 下一主题
收起左侧

[PC样本分析] 黑客恶意重打包Chrome 通过“软件盒子”、“海量软件管家”等传播

   关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2023-8-23 17:46 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-8-23 17:48 编辑

近期,火绒威胁情报系统监测到,有黑客团伙伪造了带毒的Chrome浏览器,上传至“软件盒子”、“海量软件管家”等软件进行大量传播。病毒运行后会执行篡改浏览器启动页、新标签页等恶意行为。

                              
海量软件管家


用户运行上述盗版 Chrome 浏览器安装包之后,被黑客篡改过chrome.dll 文件会立即请求服务器配置,随后黑客便可执行篡改浏览器启动页,新标签页,以及URL重定向,隐藏URL等恶意行为,该病毒的执行流程图如下:

执行流程图


在此,火绒工程师建议广大用户在下载软件时,尽量选择官方或正规可信的应用商店,并安装可靠的安全软件以保护设备免受恶意软件和病毒的侵害。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
  
      查杀图


一、  样本分析


被篡改的文件主要为chrome.dll,当Chrome浏览器启动后,chrome.dll会被加载,首先会解密出C&C服务器地址,并从C&C服务器获取配置文件地址,相关代码,如下图所示:


获取配置文件地址

获取配置文件并解析配置信息,相关代码,如下图所示:

获取、解密配置文件

解密后的配置信息,一些重要的字段,如下图所示:

配置信息重要字段

重要字段说明,如下图所示:

重要说明

接收到配置信息后,根据配置信息来执行一些恶意行为有:修改启动页、新标签页、URL重定向、隐藏URL,下面进行详细说明。

URL重定向功能,根据服务器下发的正则表达式,将匹配上的URL重定向到指定网址进行推广,如访问baidu.com会被重定位到https://www.baidu.com/?tn=02003390_39_hao_pg,关键代码,如下图所示:


URL重定向

隐藏URL功能,如果浏览器地址栏包含推广号相关的字符串就不显示URL,来降低被发现的概率,如访问baidu.com被重定向到https://www.baidu.com/?tn=02003390_39_hao_pg后,浏览器地址栏显示为空,如下图所示:


隐藏URL

关键代码,如下图所示:

隐藏URL

根据配置信息修改浏览器启动页,关键代码,如下图所示:

设置浏览器启动页

二、附录


C&C服务器


HASH

免费评分

参与人数 34吾爱币 +30 热心值 +30 收起 理由
FZyuLI428 + 1 谢谢@Thanks!
Tomatoman + 1 用心讨论,共获提升!
Icicle丶凌 + 1 用心讨论,共获提升!
炸毛鹅 + 1 + 1 果然,又是用病毒把主页锁定成2345的,2345病毒公司名不虚传
Gugugugu + 1 谢谢@Thanks!
xiaoyaotan + 1 鼓励转贴优秀软件安全工具和文档!
tianyu925 + 1 我很赞同!
cetl215430 + 1 + 1 我很赞同!
yxwudi + 1 谢谢@Thanks!
益友 + 1 谢谢@Thanks!
peanut016 + 1 + 1 谢谢@Thanks!
chen1860906 + 1 + 1 我很赞同!
xzhang20 + 1 + 1 我很赞同!
nshark + 1 + 1 谢谢@Thanks!
进击的喵星人 + 1 热心回复!
孤单魂随风荡 + 2 + 1 热心回复!
wanfon + 1 + 1 热心回复!
杨辣子 + 1 + 1 热心回复!
wtuiayujiang + 1 + 1 鼓励转贴优秀软件安全工具和文档!
shadmmd + 1 谢谢@Thanks!
JobsCh + 1 + 1 谢谢@Thanks!
MX2022 + 1 + 1 谢谢@Thanks!
Guangnianyinan + 1 + 1 我很赞同!
fengyingchun + 1 + 1 谢谢@Thanks!
theStyx + 2 + 1 我很赞同!
开心熊猫741 + 1 + 1 热心回复!
matali + 1 + 1 我很赞同!
cao_jf + 1 + 1 我很赞同!
北冥鱼 + 2 + 1 我很赞同!
StartFromOD + 1 + 1 谢谢@Thanks!
OoLaLa + 1 + 1 谢谢@Thanks!
cscscscs + 1 + 1 我很赞同!
Sillj + 1 谢谢@Thanks!
朕来打江山 + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
三滑稽甲苯 发表于 2023-8-23 18:48
chboy 发表于 2023-8-23 17:56
事实上,下载google浏览器还是有门槛!

https://www.google.cn/intl/zh-CN/chrome/
下载 chrome 的这个网址还是可以访问的

免费评分

参与人数 1热心值 +1 收起 理由
gza627 + 1 国内版的一点都不好用,我是去外网的官网下载的

查看全部评分

头像被屏蔽
推荐
墨玫醉 发表于 2023-8-23 18:07
推荐
xu3456 发表于 2023-8-23 17:49
推荐
SGC沉默 发表于 2023-8-23 18:43
系统自带edge真香
3#
三滑稽甲苯 发表于 2023-8-23 17:51
还是从官网下省心
4#
chboy 发表于 2023-8-23 17:56

事实上,下载google浏览器还是有门槛!
5#
朕来打江山 发表于 2023-8-23 17:59
小白问下,如果中招,会造成什么后果,比如用这个篡改过的浏览器网购了,会泄漏支付信息吗?
7#
wapjsuper123 发表于 2023-8-23 18:30
真是到处都是陷阱,步步惊心
10#
hewuliu 发表于 2023-8-23 19:12
感谢分享。现在chrome官网可以直接在国内网络环境下进行访问,没必要通过第三方渠道下载
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表