日前,火絨安全團隊發現某商業公司製作的流量劫持程序「FakeExtent」(產品名為「天馨氣象」),正通過「WIN7之家」等下載站中的多款激活工具大範圍傳播。該程序入侵電腦後,會釋放多個惡意插件,篡改系統配置、劫持流量。 通過「火絨威脅情報系統」監測和評估,已有數十萬臺電腦被感染。
據悉,製作該惡意程序的團夥還註冊了公司。2015年,360安全團隊曾曝光過該病毒團夥,之後該團夥有所收斂,最近他們重出江湖,並利用激活工具傳播病毒。通過垃圾下載站進入用戶電腦後即釋放多個病毒模塊用來劫持用戶,包括天馨氣象和星馳天氣助手等插件。
一些Windows系統用戶安裝盜版作業系統,藉助各類激活軟體激活系統。而該惡意程序會通過「再打包」方式將惡意程序安裝包打包到系統激活工具中,再將重新打包的激活工具上傳至「Win7之家」等下載站(win7zhijia.cn)。下載頁面,如下圖所示:
含有惡意程序的下載站
常見被捆綁該惡意程序的激活工具,如下圖所示:
被捆綁的激活工具
惡意程序安裝包運行後不但會嘗試釋放多款瀏覽器插件進行流量劫持,還會為惡意程序安裝包創建自啟動項,每次開機都會檢測插件部署情況,如果插件不存在則會再次進行釋放。受該程序影響的部分瀏覽器,如下圖所示:
受該惡意程序影響的部分瀏覽器
Chrome被劫持後
IE瀏覽器被劫持後
被感染得瀏覽器主要惡意行為如下:
1.關閉作業系統UAC權限管理,添加自啟動項。
每次開機後病毒模塊都會檢查所有惡意軟體和插件的部署狀態,如果檢測不存在則會再次自動安裝劫持用戶。
2. 在用戶訪問網頁時,會跳轉到帶有惡意程序作者推廣計費號的網址。
惡意瀏覽器插件會在所有被訪問頁面代碼中插入惡意腳本,如當訪問百度或其他導航站頁面時,被插入的惡意代碼會將頁面跳轉到用於流量劫持的跳轉頁面,最後再跳轉到帶有病毒作者推廣計費號的URL地址。例如在訪問百度時,首先會跳轉到www.fj066.com 然後重定向到攜帶推廣計費號的網址hxxps://www.baidu.com/?tn=939*****_hao_pg。
被劫持的百度頁面
部分被劫持的網站如下:
被劫持的部分網址
除了上述常見的網站外,惡意腳本還會對另外的一些導航網址(如:hao360.cn)進行過濾,當匹配到這些網址時會強行跳轉到帶有惡意程序作者推廣計費號的2345網址導航地址,此類導航站地址共300多個。
3. 將下載的安裝包替換為惡意程序作者提供的渠道包。
惡意插件會將一些軟體的官網下載地址和搜尋引擎搜索結果中的下載地址替換為惡意程序作者提供的渠道包下載地址,我們不排除該惡意插件將來將軟體下載連結替換為病毒下載連結的可能性。
4. 在訪問網頁中插入浮窗廣告。
同樣使用正則匹配網址,驗證瀏覽器信息是否符合配置裡的要求,若符合,則在右下角頁面中插入懸浮窗廣告。其中若是電商站點則會插入該站點的商品廣告,否則會插入低俗的懸浮窗廣告。被插入的各類懸浮窗廣告,如下圖所示:
浮窗廣告
以配置ID為3001的惡意腳本為例,共有40多個網址會被插入浮窗廣告。如下圖是部分被插入浮窗廣告的網站。
部分被插入浮窗廣告的網址
5. 在用戶訪問購物網站時,將商品連結更換為作者的CPS返利連結。
在訪問淘寶、京東、蘇寧等69家電商網站時,點擊商品連結,會跳轉到作者的返利連結。
1、請安裝正版作業系統,並從正規渠道激活;
2、為計算機安裝殺毒軟體,定期掃描系統、查殺病毒;
3、及時更新病毒庫、更新系統補丁;
4、下載軟體時儘量到官方網站或大型軟體下載網站。
來源:火絨安全實驗室
(如有侵權請聯繫刪除)