freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

盗版Ghost系统传播pipoc锁主页木马 受害电脑已上万
  • 关注
    盗版Ghost系统传播pipoc锁主页木马 受害电脑已上万
    2019-04-15 10:12:07
    所属地 广东省

    一、概述

    近日腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,不少用户反馈在电脑城、XX网店安装的系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。 

    该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,其安装路径都是在program files\xwinpipoc目录下,根据这一特点,腾讯安全专家将其命名为pipoc锁主页木马,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站。 

    这些带毒ghost系统主要通过一些盗版软件下载站传播,包括系统之家、win7 旗舰版、win7之家等等站点。腾讯安全专家建议用户尽量使用微软官方光盘镜像安装系统,避免下载带毒Ghost文件,已发现主页被锁定的用户可以使用腾讯电脑管家查杀病毒。 

    1.png

    pipoc锁主页木马呈明显上升趋势

    二、病毒分析

    QQ_Protect.sys系列木马驱动服务名为QQ_ProtectSer签名信息大部分都是henan pushitong intelligent technology,PDB字符信息也直接显示该系列病毒是锁主页:xxx\LockHomePage(ApcInject)\x64\Win7Release\QQ_Protect_X64_.pdb,

    2.png

    pipoc锁主页木马注册的驱动服务

    3.png

    病毒驱动程序有数字签名 

    木马运行加载后会设置进程创建回调及模块加载回调,在进程创建回调中监控进程创建事件,如果是浏览器进程则通过篡改进程启动参数的方式进行主页劫持。

    4.png

    进程创建回调

    5.png

    监控浏览器进程启动

     劫持的浏览器有IE、chrome、360se 等,具体的劫持列表如下:

    6.png

    此外,病毒在模块加载(LoadImage)回调中阻止杀软及浏览器保护模块的加载运行。包括通配急救箱进程文件 *SUPERKILLER.EXE,浏览器保护模块QBSAFE.DLL等。 

    7.png

    对抗杀软

    8.jpg

    配置文件

    以下图为例,会被劫持以参数2345.3839069.com的方式启动浏览器进程,最后跳转到带推广编号38264-0001的2345网址导航页

    9.png

    主页劫持 

    三、关联分析

    对域名pc.1668pc.com进行关联分析,其注册邮箱为952136745@qq.com,腾讯安图显示使用该邮箱注册的相关恶意域名有多个,而且域名下的url大都是主页劫持的配置信息,如hxxp://pc5210.com/ys.rar , 解压后是一个HLMicLock.ini的配置文件,配置文件里同样有主页劫持的相关信息。证明该邮箱的使用者,已是锁主页病毒的惯犯。 

    关联域名:

    10.png

    主页劫持配置信息          

    11.jpg

     

    四、安全建议: 

    1.盗版ghost系统是病毒传播的重要渠道,用户尽量使用官方正版系统安装;

    2.已经中毒感染的用户可以用电脑管家进行查杀拦截,时刻开启杀毒软件的实时防护。

    12.png


    IOC:

    Md5: 

    3d4136b69a602e708b99e81c47367ebb

    5c1fb8a76b89539937e8a68796a05c78

    56d0434b46ba6516da338f15416f2025

    211440b7a07a49b990fe7065aa6a3dfd

    1cb964b0baca5ffb9c4cdaff0e01654c

    6da02109c93817c70bc8b90a98536680

    20c731d73d20321c56341d63a068332d

    56e0981e483891a0f192e01e1df93e98

    0b0783737edd594de74c7db330ad7728

    67ae545c9a15173615ca55fd4fbb3d54

    a25866fcaa7a7c3397145650236f8264 

    fa18f489588076bbb3c65a81e9ba4af8

    7d8110599dec7ec23b7d8f10e6a12229

    0182e55ce8ffb518fde09fe5c06b4b3f

    ecc0b2d03aae86edf1a339068f490a16

    1f83ad1e26162bb210c5e6d5859ab200

    afde133fc15de6c1afa85d1996e41a88

    37d7921cabf4c8c0f8d75edd5f5a8edc

    0b0783737edd594de74c7db330ad7728

    3a313228484b498ae3455a495a7968b3

    e6d55a0721425433c7421abaff3ebf87

    ecc0b2d03aae86edf1a339068f490a16

    07bf93170e9801b15437b80f6d7284e0

    1f83ad1e26162bb210c5e6d5859ab200

    1aaf812addaf8939065b37dc0f31fdba

    6be03bb570082ca830424c75cb218cb3

    1cb964b0baca5ffb9c4cdaff0e01654c 

     

    DNS:

    pc5210.com

    pc.1668pc.com

    # 腾讯御见威胁情报 # QQ_protect.sys # 主页劫持木马 # 带毒Ghost系统
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者