IE浏覽器被桔梗劫持_遊戲外挂捆綁驅動木馬，已劫持上萬台電腦浏覽器

長按二維碼關注

禦見威脅情報中心

一、概述騰訊禦見威脅情報中心檢測到一名為updataxx.rar的驅動型木馬捆綁在流行遊戲外挂中傳播。該木馬頻繁更新躲避防毒軟體清除，木馬内置多個網址提供自更新服務。該木馬的主要危害是進行首頁劫持，劫持的網址清單從雲端配置檔案擷取。但由于每次開機啟動都會進行自更新，不排除後期拉取其他惡意功能的代碼執行，潛在危害較大。該木馬近期活躍性上升，疑與電商購物節之前劫持使用者浏覽器導流獲利有關。騰訊安圖關聯資料顯示，該系列木馬驅動的多個自更新網址注冊時間都是2018年年底，如yun.521drive.com、go.gengxinsys.com注冊時間為2018年12月；bb.niuqudong.com注冊時間為2018年11月，從今年4月份開始活躍，累計已有上萬台機器被感染。

二、詳細分析該木馬驅動檔案具有數字簽名：金華米粒網絡技術服務有限公司，該簽名被Rootkit病毒頻繁使用，目前該簽名已經失效。

1

木馬内置多個網址自更新

木馬驅動開機加載後，會聯網擷取最新版本實作自更新。病毒内置多個更新位址，根據系統版本選擇下載下傳32/64位的驅動進行安裝更新。

部分自更新位址如下：

hxxp://go.gengxinsys.com/updata32.rarhxxp://go.gengxinsys.com/updata64.rarhxxp://my.51years.com/updata32.rarhxxp://my.51years.com/updata64.rarhxxp://ss.wanqudong.com/updata32.rarhxxp://ss.wanqudong.com/updata64.rar
           

1

首頁劫持

該木馬驅動注冊了程序建立回調，當檢測到浏覽器程序啟動時則進行指令行篡改。市面上主流的浏覽器都進行了劫持操作，包括ie、谷歌浏覽器，火狐，QQ浏覽器等等。對浏覽器程序進行檢測比對:

劫持首頁的網址聯網擷取，配置檔案下載下傳位址:hxxp://ss.wanqudong.com/listh.rar，下載下傳回來的配置檔案經過了加密，解密後的網址為“hxxp://www.0kl6wc.cn/”，配置檔案裡的網址變換頻繁。

1

解密算法

跳轉到劫持導航頁，目前配置檔案裡劫持的導航頁為遊戲資訊站。

1

聯網擷取配置檔案

聯網擷取多個配置檔案，除了上文提到的首頁劫持配置檔案listh.rar，及自更新檔案updata32.rar，還有遊戲網址xinlistj.rar，遊戲外挂及病毒檔案MD5清單md5exe.rar，exe特征碼exeFeaturecode.rar等等。

xinlistj.rar，md5exe.rar，listh.rar都經過加密，解密算法和上文解密劫持網址的一樣。解密後的遊戲外挂及病毒檔案MD5清單：

1

自保護

該木馬病毒通過多種方式實作自保護，包括：

• 注冊關機回調，在關機或重新開機機器時重寫系統資料庫及檔案，實作檔案路徑及服務名随機化，以加大發現清除難度。
• 映像劫持，将自身檔案重定向到微軟正常的系統檔案，檢視檔案資訊帶有微軟簽名。
• 将驅動服務啟動組Groups設定為System Reserved及啟動類型為Boot型，實作開機搶先加載。

   三、安全建議1.遊戲外挂一直都是各種頑固病毒木馬傳播的溫床，建議遊戲玩家謹慎使用；2.保持防毒軟體的實時防護處于開啟狀态，騰訊電腦管家、騰訊禦點等終端産品都可清除該木馬，不要相信外挂網站讓你關閉或退出防毒軟體之後再運作的謊話。

                  IOCSURL:hxxp://go.gengxinsys.com/updata32.rarhxxp://go.gengxinsys.com/updata64.rarhxxp://my.51years.com/updata32.rarhxxp://my.51years.com/updata64.rarhxxp://ss.wanqudong.com/updata32.rarhxxp://ss.wanqudong.com/updata64.rarDNS:go.gengxinsys.commy.52gengxin.comkk.yaoqudong.comyun.521drive.combb.niuqudong.comss.wanqudong.commy.51years.commy.52years.comMD5:3222e94a7ab05c57a7cb61dba8599e13  cc15f8a996c98b7068352b456e5cd06b0be4f2cec952c23111dcaf0207e99d751ee408524ee39cfe64bb38b24078ddbd7f91ed5adddfd410e25f6dfa96ca3b7d682ddf49e615e4f761a50683c64f4cdef534433cca7b0d5eada187f4d5ba7ffbcd3ac5a290f7612392cb3000fea2d742682ddf49e615e4f761a50683c64f4cdeb5c7ed1e848641e38ddebc048019de1d5aa08f0d9dded52cba84b86be163aae626b285540b825050d448f4d2733b94fecc955b583c829e509c976dcf69c6cb5a4b962abc70e0634ef513d7368248d33af534433cca7b0d5eada187f4d5ba7ffb

騰訊安全産品中心招募隊友