火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 暴风等知名软件广告页遭“挂马攻击” 十多万用户被病毒...

[复制链接]
11302 12
楼主
发表于 2018-4-13 19:53:30 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
一、概述4月13日消息,火绒安全团队发出安全警报,国内多家知名软件、网站的广告页面遭到病毒团伙的“挂马攻击”。用户访问该页面,即会触发浏览器漏洞,导致病毒代码被自动激活。根据“火绒威胁情报系统”监测和评估,短短两三天内,被感染用户数量已经超过10万,其中暴风影音用户受影响最大,占比近八成。广大火绒用户无需担心,“火绒安全软件”无需升级即可防御此次攻击。

火绒工程师分析,此次事件是通过IE浏览器漏洞 CVE-2016-0189传播,受影响的版本为IE9-IE11,也就是说这些版本的IE用户,运行被攻击的软件或者网站时,其电脑都会被感染病毒“Tridext”。

病毒团伙将恶意代码植入到广告页中(例如:“美女直播秀”),只要推广该广告的网页和客户端软件(例如暴风影音、WPS、风行播放器等)都会遭到挂马攻击。该广告弹出后,用户即使不做任何操作,其电脑也会立即被感染病毒“Tridext”。病毒入侵电脑后,会篡改网银转账信息,并且可以随时通过后门远程操控用户电脑,进行其他破坏行为。此外,该病毒还会利用用户电脑疯狂“挖矿”;以及强行将用户添加到一个QQ群中,并禁止退群、举报等操作。但是火绒用户无需担心,火绒用户完全不受影响。“火绒安全软件”的【系统加固】-【隐藏执行可疑脚本】功能可以在无需升级的情况下可彻底防御此次攻击。

二、详细分析

近期火绒截获到一组通过挂马方式传播的漏洞利用样本,暂时火绒发现的最大的传播途径是通过在暴风影音广告中挂马的方式进行传播。在无需更新病毒库的情况下,火绒“系统加固”功能即可对该病毒的漏洞利用所产生的恶意行为进行拦截。如下图所示:
火绒“系统加固”功能拦截

漏洞利用相关网址,如下图所示:

漏洞利用相关网址


火绒在已经对本次被挂马的广告页面链接添加了恶意网址拦截策略。被挂马的广告页面,如下图所示:

被挂马的广告页面

漏洞被触发后会在远程C&C服务器地址(hxxp://222.186.3.73:8591/wp32@a1edc941.exe)下载执行下载器病毒,该下载器病毒则会下载执行三个不同的病毒模块。下载器病毒相关数据,如下图所示:

下载器病毒相关数据

下载器病毒所使用的下载地址,如下图所示:

下载器病毒所使用的病毒下载地址

下载器病毒所下载三个病毒样本分别会执行不同的病毒逻辑,不同病毒模块与所对应的病毒功能描述,如下图所示:

病毒对应功能

107.exe该程序执行后会通过访问远程C&C服务器地址(hxxp:// yunos.xueliwu.com/HostR/HostR)请求到动态库数据,之后将数据写入到当前目录名为“security_e66bf5.dll”的文件中。107.exe会将该动态库数据注入到QQ.exe进程中。动态库被注入后,会强行使用当前用户登录的QQ强行添加指定QQ联系人或将用户QQ加入到指定的QQ群中。强行添加QQ联系人相关代码,如下图所示:

强行添加QQ联系人

将用户QQ加入到指定QQ群相关代码,如下图所示:

强行添加QQ群

除此之外,动态库中恶意代码还会通过Hook API的方式拦截用户通过QQ举报或者退出QQ群。如下图所示:

Hook API禁止退出或举报QQ群

QQExternal.exeQQExternal.exe会再%windir%\Temp目录下释放出随机名(如:ddxiwuk.dat)驱动文件进行加载,该驱动会最终释放DDoS攻击病毒。DDos病毒首先会先从C&C服务器地址(hxxp:// www.hn45678.com)请求攻击数据,之后对指定地址进行DDoS攻击。相关代码,如下图所示:

DDoS攻击代码

构造空的攻击包进行攻击,相关代码如下图所示:

攻击代码

op.exe首先,op.exe会通过C&C服务器地址(hxxp://storage.duapp.com)请求到一个压缩包,压缩包中包含有4个文件。如下图所示:

压缩包中的文件

解压后会通过指定参数进行调用inst.dll,参数中包含有以十六进制存放的邮箱地址“721767856@163.com”。代码如下图所示:

op.exe相关获取远程inst.dll代码

inst.dll动态库运行会将LiveService.dll注册为服务项进行启动,并下载相关的运行时库。如下图所示:

注册服务并下载运行时库

LiveService.dll启动后会加载LiveLog.DLL动态库运行后会通过远程C&C服务器地址(hxxp://api.ctkj.org)下载执行后门病毒动态库。该后门病毒运行后会下载执行挖矿病毒、远控后门等恶意行为。如下图所示:


下载执行init动态库


三、附录文中涉及样本SHA256:

详细分析报告PDF:http://down4.huorong.cn/doc/report/tridext.pdf





评分

参与人数 1金钱 +1 收起 理由
人傻钱多jj大 + 1 为什么你这么给力??

查看全部评分

回复

使用道具 举报

11302 12
沙发
发表于 2018-4-13 20:49:46 | 只看该作者
赞火绒 某讯只说某知名播放器 而火绒直接指名道姓 这就是差距啊
回复

使用道具 举报

11302 12
板凳
发表于 2018-4-14 10:49:12 | 只看该作者
沙发
回复

使用道具 举报

11302 12
地板
发表于 2018-4-14 11:27:49 | 只看该作者
这就是腾讯说的412挂马风暴= =,原来如此
回复

使用道具 举报

11302 12
5#
发表于 2018-4-14 14:41:11 | 只看该作者
IE8 路过。。。

点评

极度刁钻qaq  发表于 2018-4-14 17:44
回复

使用道具 举报

11302 12
6#
发表于 2018-4-15 15:56:09 | 只看该作者
不过我不得不承认我经常用暴风。。。

点评

potplayer用户路过……  发表于 2018-4-18 13:04
回复

使用道具 举报

11302 12
7#
发表于 2018-4-16 18:08:28 | 只看该作者
大佬,病毒样本可以私发给我吗?我也想分析一边。博文里面的ip下载不了病毒了。谢谢大佬
回复

使用道具 举报

11302 12
8#
发表于 2018-4-16 18:13:11 | 只看该作者
360安全新闻,12日就有消息……
回归正题,说起来好好一个本地播放器做起了网络播放器……还是喜欢PPTV、爱奇艺
至于第二个风行视频,还不如倒闭的Qvod,现在选择:弹弹play、影音先锋。

点评

前两天惊讶的发现迅雷影音竟然也变回了本地播放器,什么网络的内容都没了,干净的让人匪夷所思  发表于 2018-4-23 14:02
回复

使用道具 举报

11302 12
9#
发表于 2018-4-16 22:49:38 | 只看该作者
直接不用ie,
回复

使用道具 举报

11302 12
10#
发表于 2018-4-23 14:04:10 | 只看该作者
晓顾 发表于 2018-4-16 18:13
360安全新闻,12日就有消息……
回归正题,说起来好好一个本地播放器做起了网络播放器……还是喜欢PPTV、爱 ...

前两天惊讶的发现迅雷影音竟然也变回了本地播放器,什么网络的内容都没了,干净的让人匪夷所思
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表