一:木马概述
360安全中心近期接到用户反馈,在使用下载安装某个软件后,浏览器主页被强行篡改,无法修改成用户想要的主页,在提取相关文件后,我们发现这是CEIDPageLock一个新变种,我们将其命名为CEIDPageLock2,该木马不仅篡改用户主页,还恶意盗用用户QQ Key空间转发各种推广信息,据初步统计目前至少有上万用户中毒。
二:木马分析
木马来源于到带数字签名的某款软件
MD5:71da18a5cd8e594eacd90654a5e0c6b3
文件信息
下载器创建广告木马MD5:
6fddc26c19b5b300a7d5903caecc1894
该木马是易语言编写,并加入了易语言自带的花指令混淆,木马受云端控制,入侵用户机器后调用QQ说说接口发送广告。
木马启动访问 网页统计木马启动数量:
然后访问 获取标记
如果返回error,则下载三个木马执行:
MD5: B583C6D1E133410938CFC185BAEA7945
木马简要行为:
通过傀儡进程方式,将木马写入CMD.exe进程,获取本地QQ信息,并从获取木马推广QQ进行添加,转载添加的木马QQ空间广告信息进行转发推广。
MD5: 86F9D8B955EC9B9A58ABF22AAE3D6E52
木马简要行为:
通过傀儡进程方式,将木马写入iex进程,释放C:\Windows\temp\kcb并加载驱动,进行主页修改。
该驱动文件就是我们之前分析的CEIDPageLock
篡改浏览器列表:
篡改用户主页为:
篡改用户主页为:
文件无法下载,但同目录下有一个文件,怀疑作者可能不想进行推广将其改名,我们依然看下行为。
MD5: DCFA785905CDAA6DCD668C998C08BEBF
木马简要行为:
木马直接通过 下载安装推广一款"小牛截图"的流氓软件。
访问 获取用户IP,并获取用户MAC地址,为木马打点用户信息做准备
拼接获取到的用户信息,发送打点请求:
打点完成循环访问QQ开放接口来检测机器上是否启动QQ
如果有启动QQ则获取QQSkey(相当于QQ密码)并访问 获取广告代码信息:
通过获取到的QQSkey调用QQ说说接口发送上述广告内容
广告内容截图:
三:安全提醒
建议用户尽量不要下载来历不明的软件,更不要相信木马提示退出安全防护,然后发现木马提示要立即清理
此外,360安全卫士针对主页被恶意篡改已经推出了主页修复功能,能完美解决各种主页被篡改问题。