火绒安全软件

标题: “2345导航站”弹窗广告携带病毒 盗取QQ和多款热门游戏账号 [打印本页]

---

作者: huoronganquan    时间: 2019-4-1 04:28
标题: “2345导航站”弹窗广告携带病毒 盗取QQ和多款热门游戏账号
一、概述

4月1日凌晨，火绒安全团队发出警报，部分“2345导航站”首页的弹窗广告携带盗号木马，该病毒会偷取QQ、游戏平台（steam、WeGame）、知名游戏（地下城与勇士、英雄联盟、穿越火线）的账号。这是一次设计精巧、组织周密的大规模盗号行动，利用周末时间突然发起攻击，主要目标是网吧游戏用户。

火绒工程师分析，部分“2345导航站”首页右下角会弹出弹窗广告（上图红色箭头所指），该广告页面一经弹出，即可自动下载病毒，无需用户点击。病毒下载链接自动激活后，首先访问跳板网站“yyakeq.cn”（存放跳板脚本以及flash漏洞），然后再从“ce56b.cn”网站下载病毒，而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播，受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户，如果其Flash控件是以上版本，都会被感染。
安装最新版“火绒安全软件”，即可彻底查杀该病毒。该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息，请阅读后附的详细分析报告。


二、样本分析

近期，火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认，我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞，漏洞代码执行后会从C&C服务器（hxxps:// www.yyakeq.cn）下载执行病毒代码，现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号，再联系其广告内容“高价在线回收所有网游装备/金币”，我们推断此次攻击主要针对对象主要为网络游戏人群，且针对性极强。2345导航站中相关广告内容和相关HTML代码，如下图所示：

2345导航站中相关广告内容和相关HTML代码

从页面代码看，该广告展示代码的植入也非常“奇特”，因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果，该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线，截至本报告撰写时，该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系，如下图所示：

病毒页面嵌套调用关系

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击，之后再根据浏览器的User Agent加载不同的IE漏洞利用代码（banner.html或cookie.html）。相关代码，如下图所示：

页面加载代码

ad.html中的HTML代码中包含有混淆后的JavaScript代码。相关代码，如下图所示：

ad.html中的HTML代码

ad.html中代码会被先后解密两次，最终得到漏洞调用代码，根据漏洞利用代码的调用逻辑，我们可以粗略确认受影响的Flash版本范围为21.0.0.180 至 31.0.0.160之间。相关代码，如下图所示：

最终执行的漏洞攻击相关调用代码

漏洞被触发后，会调用远程HTA脚本会从C&C服务器地址（hxxp://www.ce56b.cn/logo.swf）下载病毒数据到本地进行解密执行，被解密后的病毒数据为下载者病毒。相关进程调用关系，如下图所示：

漏洞触发后的进程调用关系

病毒解密相关代码，如下图所示：

病毒解密代码

banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。相关代码，如下图所示：

解密远程HTA脚本地址

漏洞触发代码

漏洞被触发后，最终被下载执行的下载者病毒会根据C&C服务器返回的配置（hxxp://www.ce56b.cn/tj.txt），下载盗号木马到本地进行执行。存在被盗号风险的软件包括：Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置，如下图所示：

下载者病毒配置

腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写，通过伪造游戏登陆界面，欺骗诱导用户输入游戏账号密码，获取到账号密码会发送到远程C&C服务器（hxxp://we.zouxian1.cn）。相关代码，如下图所示：

提交账号与密码

英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面，获取用户的游戏账号和密码，并且账号密码也会发送到远程C&C服务器（hxxp://we.zouxian1.cn）。相关代码，如下图所示：

提交账号与密码

在盗取Steam游戏平台账号密码 时，首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。相关代码，如下图所示：

调用导出函数

该动态库会安装全局钩子，用于将自身注入到steam进程，当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。注入部分代码，如下图所示：

安装全局钩子

HOOK SteamUI.dll用于截获用户的账号密码。HOOK 相关代码，如下图所示：

HOOK SteamUI.dll

被盗取的账号，同样也会发送到远程C&C服务器（hxxp://zouxian1.cn）。相关代码，如下图所示：

提交账号与密码

三、溯源分析
本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息，下文分块进行溯源分析。

网马溯源
通过对域名yyakeq.cn和ce56b.cn的溯源，发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册，且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名，其中一些域名指向页面包含明显的欺诈内容（如下图所示），所以不排除这些域名是想在未来用作C&C服务的DGA（Dynamic Generation Algorithm）域名。

其中一个域名指向的页面内容

yyakeq.cn域名注册信息

ce56b.cn域名注册信息

部分疑似DGA域名

部分疑似DGA域名

盗号病毒溯源

通过对盗号病毒收集URL的Whois查询，可以得到如下信息：

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查，此人以同样的命名方式于2018年4月20日共注册了15个近似域名：

域名注册反查结果

另外，通过ICP备案查询发现，其中部分域名还经过了ICP个人备案：

ICP备案查询结果

并且同日（2018年4月20日），此人还用同样的QQ邮箱（2659869342@qq.com）和不同的姓名注册了另外两个形式与前述域名相似的域名，如下图所示：

域名注册反查结果

四、附录
文中涉及样本SHA256：

---

作者: 三生    时间: 2019-4-1 07:55
2345怕是要搞事情....

---

作者: 清雨青雪    时间: 2019-4-1 12:32
前排支持 永远支持火绒

---

作者: Invalid_ID    时间: 2019-4-1 13:37
建议每个用户把2345这个品牌当绝对的黑名单……旗下任何产品均默认为病毒流氓……

---

作者: jawly    时间: 2019-4-1 15:30
用chrome的会不会中毒啊，有点怕

---

作者: yonxi3    时间: 2019-4-1 15:43
可怕，好在我不用什么导航网页。

---

作者: 深蓝冲击波    时间: 2019-4-1 15:54

yonxi3 发表于 2019-4-1 15:43
可怕，好在我不用什么导航网页。

我用空白页。。。

---

作者: 深蓝冲击波    时间: 2019-4-1 15:55
2345这个流氓。。

---

作者: 城乡结合部    时间: 2019-4-1 17:18
2345真的无耻···

---

作者: a223    时间: 2019-4-1 17:52

深蓝冲击波 发表于 2019-4-1 15:54
我用空白页。。。

我用Bing

---

作者: 深蓝冲击波    时间: 2019-4-1 18:04

a223 发表于 2019-4-1 17:52
我用Bing

哦。。。。

---

作者: hmybskl    时间: 2019-4-1 21:28
看见2345的软件就卸载

---

作者: ndd200    时间: 2019-4-2 10:21
最讽刺的是，首页上还写着：
2345网址导航－开创中国百年品牌（已创建13年零7个月）

各种软件上也牛逼哄哄的写着A股上市公司荣誉出品。

---

作者: xe99da0    时间: 2019-4-2 16:54
图片好模糊，有些关键字看不到

---

作者: maoys_01    时间: 2019-4-2 17:26

ndd200 发表于 2019-4-2 10:21
最讽刺的是，首页上还写着：
2345网址导航－开创中国百年品牌（已创建13年零7个月）

---

作者: 等待明天    时间: 2019-4-3 12:57
目前唯有火绒报毒唉

---

作者: 墨染不忆流年    时间: 2019-4-3 14:47

等待明天 发表于 2019-4-3 12:57
目前唯有火绒报毒唉

不能吧 这不太可能

---

作者: 18164195725    时间: 2019-4-3 17:05

jawly 发表于 2019-4-1 15:30
用chrome的会不会中毒啊，有点怕

不是有火绒嘛（手动滑稽）

---

作者: 18164195725    时间: 2019-4-3 17:06
不过这图片怎么感觉是压缩过了的，啥都看不清。

---

作者: tang_ge    时间: 2019-4-4 17:22
2345流氓大王

---

作者: 冰绒盾HCl    时间: 2019-4-5 10:52
小绒是个真男人... ...

---

作者: 丑到没朋友    时间: 2019-4-6 20:19
我电脑下载了个鲁大师 打开浏览器就是那个导航 去都去不掉 怎么办 不想重新安装系统

---

作者: 22msccc.com    时间: 2019-4-13 13:50
有火绒在，不用过于担心的。永远支持火绒！！！

---

作者: 安娜    时间: 2019-4-15 05:18
不错 大力支持

---

作者: 任盈盈    时间: 2019-4-16 00:14
Thank you very much! 非常走心了！已经给家里的电脑浏览器换了主页

---

作者: 叫我最右君    时间: 2019-4-23 20:34

ndd200 发表于 2019-4-2 10:21
最讽刺的是，首页上还写着：
2345网址导航－开创中国百年品牌（已创建13年零7个月）

2345真是有些厚颜无耻(* ￣︿￣)

---

作者: 纯白色丶诺言    时间: 2019-4-24 18:58


卧槽。。。。。好专业，不明觉厉，哈哈，太详细了吧

---

作者: lkq    时间: 2019-4-25 12:15

三生 发表于 2019-4-1 07:55
2345怕是要搞事情....

不是说了吗，2345是被投毒的

---

作者: saidianchi    时间: 2019-4-27 14:00
火绒5.0查杀出的Adware/HelperHaoZip.a
Rogue/ADSafe这是病毒、木马，还是恶意软件?对电脑有什么危害？

---

作者: lbf2918    时间: 2019-5-3 01:38

saidianchi 发表于 2019-4-27 14:00
火绒5.0查杀出的Adware/HelperHaoZip.a
Rogue/ADSafe这是病毒、木马，还是恶意软件?对电脑有什么危害？ ...

这是个广告插件，非常流氓，代码里有非常规的绕过安全系统的代码，所以你可以把它归类为病毒，而且删了也不行，会重新下载到该位置，暂时我只发现一个办法，删掉后在该位置创建一个同名空白文件（ADSafe.exe），然后在属性里改成只读。
说明：因为windows系统下，同名同后缀的文件是无法同时存在两个的，所以“只读”后该文件只可读取，无法覆盖，所以HelperHaoZip.exe监测到不是他们官方的正版程序，也无法靠下载新文件来替换掉。而这个空白文件无法被激活，也就不会执行弹出广告的行为了。

---

作者: saidianchi    时间: 2019-5-4 04:52
原来是它。2345加速浏览器。

---

作者: 星空Stars    时间: 2019-5-11 15:30
2345这么流氓，老是自动修改浏览器首页，为什么工信部不约谈呢

---

作者: 蓝色的天空    时间: 2019-5-12 17:32
那为什么要装2345呢？个人觉得是，2345的存在就是因为有人需要它

---

作者: saidianchi    时间: 2019-5-14 18:01
我这儿玩家国度高端电脑游戏玩家竞技比赛用的主机，标配的就是2345浏览器。火绒把它的坏的一部分消灭掉，剩下的就是好的了。

---

作者: jarpei    时间: 2019-5-18 22:47
都用空白页最好。

---

作者: zzttzhang    时间: 2019-5-21 00:58
2345是个流氓············

---

作者: mmm123321    时间: 2019-5-30 18:24
2345网址导航 360 都是流氓

---

作者: Tker    时间: 2019-6-6 16:33

Invalid_ID 发表于 2019-4-1 13:37
建议每个用户把2345这个品牌当绝对的黑名单……旗下任何产品均默认为病毒流氓…… ...

同意！！！！！！！！！！

---

作者: hoohurtle    时间: 2019-6-7 12:38
中国林子大了，什么鸟都有，自然流氓也是最出名的。从3721开始，到360打3721，到杀软免费，到杀软部分的工程师离开杀软，到5大流氓诞生，到小流氓百家争鸣，只能是防不胜防。哪怕你尽量远离5大流氓的安软、不用小流氓们的任何东西，也难免中招。

---

作者: 诸华诸夏阿尔泰    时间: 2019-6-15 01:56
自然无赖也是最出名的。从3721开始，到360打3721，到杀软免费，到杀软部分的工程师离开杀软，到5大无赖的诞生，到小无赖百们家争鸣，只能是防不胜防。哪怕你尽量远离5大无赖的安软、不用小无赖们的任何东西，也难免中招，应该把流氓改成无赖才合适

---

作者: laolunxiniu    时间: 2019-7-3 03:39
不是2345浏览器自带的吧，不是自带的就好。查杀了，用火绒。

---

作者: 记忆滑过泪滴    时间: 2019-7-22 14:16
支持火绒！赞一个

---

作者: 明月本无心    时间: 2019-7-22 16:13
2345的一些软件确实挺好用的，但是做事是真的恶心。。我一般都是把它的软件禁止联网

---

作者: 一只酷酷的猫    时间: 2019-7-22 21:41
老实的我，一直在用Microsoft Edge！！

---

作者: 2661090543    时间: 2019-7-24 10:38
想问一下我一直用的2345浏览器，现在看起来不能再用了，请大佬推荐一款浏览器吧

---

作者: Cyborg    时间: 2019-7-25 02:50
现在不想用2345了，

---

作者: lylzs    时间: 2020-4-1 17:36
早就知道2345无耻

---

作者: 2884omgpy    时间: 2020-4-12 21:59
关闭“记住密码”应该没太大问题

---

作者: 2884omgpy    时间: 2020-4-14 17:44

ndd200 发表于 2019-4-2 10:21
最讽刺的是，首页上还写着：
2345网址导航－开创中国百年品牌（已创建13年零7个月）

根本不存在"百年"，一百年前还没有计算机。

---

作者: 琴南织雪    时间: 2020-4-15 08:20
2345天天这么多事吗

---

作者: 网民用户    时间: 2020-5-9 13:50

蓝色的天空 发表于 2019-5-12 17:32
那为什么要装2345呢？个人觉得是，2345的存在就是因为有人需要它

比如说，电脑城老板

---

作者: 顾梓豪    时间: 2020-5-17 07:07

jawly 发表于 2019-4-1 15:30
用chrome的会不会中毒啊，有点怕

應該不會

---

作者: 咸鱼永不翻身    时间: 2020-6-1 11:53
A股上市流氓病毒出品

---

作者: laobaobao    时间: 2020-10-4 15:57
2345也沦陷了，怎么国产软件都喜欢这么搞了

---

作者: 阿钟的huorong    时间: 2020-10-9 09:31

---

作者: yuangao    时间: 2020-11-3 00:29
XX45团队，就是一群LJ, 这种广告软件什么作用也没有，   早点倒闭吧，还互联网一个干净的世界

---

作者: @huorong    时间: 2020-12-24 21:29
2345在作死

---

作者: sgffsh    时间: 2022-3-15 10:20
2345:励志打造百年不变的流氓品牌

---

作者: 魏嘉璇    时间: 2022-3-15 17:49
真不知道2345想要干什么，搞这种事情，还不上报给国家？？？

---

作者: Ecor    时间: 2022-3-28 01:28
2345大流氓！

---

作者: Jemmy    时间: 2022-6-28 16:04

深蓝冲击波 发表于 2019-4-1 15:54
我用空白页。。。

我空白页被劫成2345.。。

---

作者: pvzpvz    时间: 2022-8-10 18:54
好像见过，前几天不小心打开就是这样。。。完了不过我不玩游戏

---

作者: CMD-ANTIVIRUS    时间: 2022-8-11 08:34
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: 百慕鲨    时间: 2022-10-25 14:20
2345浏览器的话 一直不敢恭维 真的用不惯 有点copy他人的网站样板 又被下病毒了么

---

作者: 青竹小轩    时间: 2023-10-10 15:43
远离游戏，不玩游戏，免受其害

---

欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)

Powered by Discuz! X3.4