ky88开元下载2.6.16,ky88开元下载2.6.16安卓通用版,ky88开元下载2.6.16手机APP下载

疯花木马劫持浏览器主页，疯花360安全卫士支持强力查杀

软件资讯 2021-03-31 文章分享

火狐浏览器 ： 浏览器

软件首页

360安全大脑监控到一类通过下载器进行推广，木马以劫持浏览器主页，劫持ky88开元下载2.6.16推广软件，浏览力查流氓快捷方式，器主全卫广告弹窗等方式进行牟利的页安病毒木马，我们将此类木马命名为“疯花”木马。士支杀

该木马是持强典型的云控木马，所有模块均以云端控制，疯花内存加载的木马方式执行，通过Process Hollowing的劫持ky88开元下载2.6.16注入方式绕过安全软件检测。通过GetSystemMetrics()实现了一个应用层的浏览力查关机回调，并在关机回调中回写木马文件和注册表，器主全卫绕过部分杀软的页安主动防御功能。疯花木马整体病毒流程如下图：

当携带木马的士支杀下载器被运行后，会将疯花木马的主控模块注入到svchost.exe进程中执行，主要包含两个病毒线程，一个通过云控加载劫持模块，另一个注册关机回调，回写病毒文件和注册表项：

通过云控下载执行相应的恶意组件，云控的配置跟下载的组件均经过加密存储，下图是下载云控配置并进行解析的代码片段：

解密后的云控配置如下：

通过GetSystemMetrics实现应用层关机回调，并在关机回调时回写病毒文件和注册表：

通过篡改SENS服务ServiceDll路径实现病毒自启动：

此外还会修改
PendingFileRenameOperations：

自启动模块会检查进程名跟命令行是否为sens服务，若不是则不会执行病毒逻辑，反之则会通过进程hollowing的方式启动主控模块：

主控以同样的方式启动盈利模块，盈利模块包含篡改浏览器主页，推广软件，流氓快捷方式等进行牟利，配置文件中包含一些对于环境的判断条件，如fbarea字段存在，会检测北京，上海，广州，深圳等一线城市，并绕过。劫持浏览器主页的配置如下：

劫持的浏览器列表如下:

劫持后的主页最终跳转到如下页面：

快捷方式和推广软件的部分配置文件如下：

安全建议：

1，减少下载器，盗版软件的使用，尽量去软件官网下载使用。

2，定时对系统进行木马查杀，保证系统安全。

360安全卫士已支持查杀该木马，广大用户可前往weishi.360.cn下载使用：

MD5：

226037df29daa7a40b9fb3a3ee56c3c4

URL:

http[:]//plg.xw-wd.com/PopNews.dat

http[:]//ver.wengmingjunylawyerfc.com/Version.ini

http[:]//core.sda-bocconi.com:80/Hsvt.dat

http[:]//cfg.wtlswd.com/Config.ini

http[:]//core.sda-bocconi.com:80/Hds.dat

延伸阅读

• 火狐浏览器相关介绍： 点击查看
• 软件名称的最新功能： 点击查看

相关软件

• Firefox火狐浏览器 32位V84.0.1.7660简体官方版： 点击下载
• 火狐浏览器V80.0.1官方版： 点击下载
• 火狐中国版V67.0绿色版 ： 点击下载
• Firefox火狐浏览器V31 正式版正式版： 点击下载
• Mozilla Firefox火狐浏览器V41.0.1 Final绿色版： 点击下载