“锁大师”劫持主页后台悄悄刷流量,涉及影响上百万的用户
克日,金山毒霸平安实验室监控到一款名为“锁巨匠”的地痞软件,该软件已开端大规模强迫挟制用户浏览器主页,暗刷流量。 “锁巨匠”重要经由过程软件下载器为载体停止流传装置,预估受影响的用户量在百万级别。
图:“锁巨匠”以下载器为载体停止流传
图:”锁巨匠”下载地点
1、 “锁巨匠” 可谓一个Rootkit木马隐蔽性较高
它会经由过程创立文件过滤,将本身重定向到微软的文件上(ntkemgr.sys[歹意驱动]->重定向->partmgr.sys[微软失常驱动]),这样一来肉眼看则是失常文件,歹意驱动本身不会被发现。
图:文件重定向后
图:文件过滤
2、 “锁巨匠”应用KeUserModeCallback 注入Ring3并拔出shellcode 停止PE文件的加载
3、“锁巨匠”歹意模块挟制用户浏览器主页
4、“锁巨匠”除挟制主页外还会歹意暗刷告白
今朝,金山毒霸平安中间曾经针对“锁巨匠”家属的地痞软件增强了消除和进攻步伐,可应用金山毒霸有用检出和清算“锁巨匠”歹意软件,并能够拦阻其针对支流浏览器的歹意窜改。
克日,金山毒霸平安实验室监控到一款名为“锁巨匠”的地痞软件,该软件已开端大规模强迫挟制用户浏览器主页,暗刷流量。 “锁巨匠”重要经由过程软件下载器为载体停止流传装置,预估受影响的用户量在百万级别。
图:“锁巨匠”以下载器为载体停止流传
图:”锁巨匠”下载地点
1、 “锁巨匠” 可谓一个Rootkit木马隐蔽性较高
它会经由过程创立文件过滤,将本身重定向到微软的文件上(ntkemgr.sys[歹意驱动]->重定向->partmgr.sys[微软失常驱动]),这样一来肉眼看则是失常文件,歹意驱动本身不会被发现。
图:文件重定向后
图:文件过滤
2、 “锁巨匠”应用KeUserModeCallback 注入Ring3并拔出shellcode 停止PE文件的加载
3、“锁巨匠”歹意模块挟制用户浏览器主页
www.wnhack.com
4、“锁巨匠”除挟制主页外还会歹意暗刷告白
今朝,金山毒霸平安中间曾经针对“锁巨匠”家属的地痞软件增强了消除和进攻步伐,可应用金山毒霸有用检出和清算“锁巨匠”歹意软件,并能够拦阻其针对支流浏览器的歹意窜改。
本文来自无奈人生安全网