IE浏览器被桔梗劫持_游戏外挂捆绑驱动木马,已劫持上万台电脑浏览器

最新推荐文章于 2021-10-27 20:15:14 发布
最新推荐文章于 2021-10-27 20:15:14 发布
阅读量912 收藏 1
点赞数 1
文章标签: IE浏览器被桔梗劫持

9588ce00cb558369b450c4db35ca703d.png

长按二维码关注

御见威胁情报中心

一、概述腾讯御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在流行游戏外挂中传播。该木马频繁更新躲避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是进行主页劫持,劫持的网址列表从云端配置文件获取。但由于每次开机启动都会进行自更新,不排除后期拉取其他恶意功能的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前劫持用户浏览器导流获利有关。腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.com、go.gengxinsys.com注册时间为2018年12月;bb.niuqudong.com注册时间为2018年11月,从今年4月份开始活跃,累计已有上万台机器被感染。

6908447cc4a1d5457d8b349e3c71d9d1.png

二、详细分析该木马驱动文件具有数字签名:金华米粒网络技术服务有限公司,该签名被Rootkit病毒频繁使用,目前该签名已经失效。

97d85eb8a9d58ff85e3300dcf10bdbc9.png

1

木马内置多个网址自更新

木马驱动开机加载后,会联网获取最新版本实现自更新。病毒内置多个更新地址,根据系统版本选择下载32/64位的驱动进行安装更新。

部分自更新地址如下:

hxxp://go.gengxinsys.com/updata32.rarhxxp://go.gengxinsys.com/updata64.rarhxxp://my.51years.com/updata32.rarhxxp://my.51years.com/updata64.rarhxxp://ss.wanqudong.com/updata32.rarhxxp://ss.wanqudong.com/updata64.rar

a3061c41d46744d37df11c570069edc4.png

1

主页劫持

该木马驱动注册了进程创建回调,当检测到浏览器进程启动时则进行命令行篡改。市面上主流的浏览器都进行了劫持操作,包括ie、谷歌浏览器,火狐,QQ浏览器等等。对浏览器进程进行检测匹配:

0c82d60103acb4be0bfc4dc7e08df97f.png

劫持主页的网址联网获取,配置文件下载地址:hxxp://ss.wanqudong.com/listh.rar,下载回来的配置文件经过了加密,解密后的网址为“hxxp://www.0kl6wc.cn/”,配置文件里的网址变换频繁。

e29fcebbe65d4974af153073d8523c39.png

1

解密算法

ab61e1c180a00ccf630e2966fd692b5a.png

跳转到劫持导航页,目前配置文件里劫持的导航页为游戏资讯站。

d621425dc35a486d34504812929d5113.png

1

联网获取配置文件

联网获取多个配置文件,除了上文提到的主页劫持配置文件listh.rar,及自更新文件updata32.rar,还有游戏网址xinlistj.rar,游戏外挂及病毒文件MD5列表md5exe.rar,exe特征码exeFeaturecode.rar等等。

46588bab7118da485afac29012bbd63b.png

xinlistj.rar,md5exe.rar,listh.rar都经过加密,解密算法和上文解密劫持网址的一样。解密后的游戏外挂及病毒文件MD5列表:

456a190092895cb07ed12445c4c45208.png

1

自保护

该木马病毒通过多种方式实现自保护,包括:

  • 注册关机回调,在关机或重启机器时重写注册表及文件,实现文件路径及服务名随机化,以加大发现查杀难度。

  • 映像劫持,将自身文件重定向到微软正常的系统文件,查看文件信息带有微软签名。

  • 将驱动服务启动组Groups设置为System Reserved及启动类型为Boot型,实现开机抢先加载。

   三、安全建议1.游戏外挂一直都是各种顽固病毒木马传播的温床,建议游戏玩家谨慎使用;2.保持杀毒软件的实时防护处于开启状态,腾讯电脑管家、腾讯御点等终端产品都可查杀该木马,不要相信外挂网站让你关闭或退出杀毒软件之后再运行的谎话。

a5462e2c297ace7da48224b8f5b0226f.png

                  IOCSURL:hxxp://go.gengxinsys.com/updata32.rarhxxp://go.gengxinsys.com/updata64.rarhxxp://my.51years.com/updata32.rarhxxp://my.51years.com/updata64.rarhxxp://ss.wanqudong.com/updata32.rarhxxp://ss.wanqudong.com/updata64.rarDNS:go.gengxinsys.commy.52gengxin.comkk.yaoqudong.comyun.521drive.combb.niuqudong.comss.wanqudong.commy.51years.commy.52years.comMD5:3222e94a7ab05c57a7cb61dba8599e13  cc15f8a996c98b7068352b456e5cd06b0be4f2cec952c23111dcaf0207e99d751ee408524ee39cfe64bb38b24078ddbd7f91ed5adddfd410e25f6dfa96ca3b7d682ddf49e615e4f761a50683c64f4cdef534433cca7b0d5eada187f4d5ba7ffbcd3ac5a290f7612392cb3000fea2d742682ddf49e615e4f761a50683c64f4cdeb5c7ed1e848641e38ddebc048019de1d5aa08f0d9dded52cba84b86be163aae626b285540b825050d448f4d2733b94fecc955b583c829e509c976dcf69c6cb5a4b962abc70e0634ef513d7368248d33af534433cca7b0d5eada187f4d5ba7ffb

腾讯安全产品中心招募队友

367d14ebd932076a43e7534a34ae210b.png

0cf2903b48c1d0e92b9e19c98f7d2105.gif

weixin_39867200
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IE主页被篡改恢复
02-06
有时候当我们打开IE浏览器的时候,会发现默认的IE空白页(或者自己设置的主页)莫名其妙的被替换成别的页面了,为什么会出现IE打开的不是默认主页的情况呢?很多时候这是因为我们到了非法网站被强制替换了主页,还有一...
IE浏览器桔梗劫持_网页劫持,网页劫持怎么解决?如何修复?
weixin_39664010的博客
11-20 5713
使用浏览器的时候,可能会因为自己安装一些软件之后,导致网页被劫持了,所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改,这样就无法正常浏览网页了,那么如果遇到网页劫持怎么解决呢?针对这个问题,本文给大家讲述一下网页被劫持的详细修复方法。IIS7站长之家网站监控可以做到:1、检测网站是否被劫持2、域名是否被墙3、DNS污染检测4、网站打开速度检测5、网站是否被黑、被入侵、被改标题、被挂黑链下载地址...
解决chrome/IE浏览器桔梗导航劫持的问题
qq_45822821的博客
10-27 2351
解决方法: 找到浏览器的快捷方式——右键——属性——常规——属性——将只读前面的√去掉——点击应用——需要提供管理员权限,点击继续 在快捷方式窗口,找到目标,将.exe"后面的内容删掉,然后点击确定。 ...
恢复 浏览器桔梗网强行篡改主页
jiubuxinhaibeizhan的博客
03-17 3万+
流氓网站强行更改浏览器主页 打开很久不用的浏览器,发现主页是桔梗网网页,绿色的字很难看,上网一搜才发现是被强行修改主页,搜了一圈方法没有解决,打算记录一下自己的方法,以供相同问题的朋友参照。 类似样子,图为网上找的: 右键快捷方式图片,点属性,然后在“目标”这一项可以看到桔梗网路径,去掉即可。如果权限问题不能修改,就参照目标地址,找到安装路径,修改完成再生成快捷方式。图为网上找的,类似下面: ...
解决谷歌浏览器桔梗导航劫持问题
huanhuan_Coder的博客
10-12 3万+
我们常常会遇到谷歌Chrome浏览器桔梗导航强行篡改默认界面的问题,如下: 然后我们右键打开谷歌浏览器的属性,找到红圈标出的位置,如下图: 我们发现目标的位置变成了:“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” http://www.jiegeng.com/bz=17042809255267 ,在chrome.exe...
War3 YDWE 犬夜叉-桔梗模型下载 .mdx和.blp格式
12-22
在本文中,我们将深入探讨如何在魔兽争霸3之冰封王座(War3)游戏中,使用YDWE(Yet Another WarCraft III Edit)地图编辑器插件,将动漫《犬夜叉》中的桔梗角色模型导入游戏。我们将讨论.MDX和.BLP文件格式,以及...
桔梗耐盐性考察及盐胁迫对桔梗幼苗总皂苷积累的研究
02-12
桔梗耐盐性考察及盐胁迫对桔梗幼苗总皂苷积累的研究,张坚,李兴林,摘要 目的:考察桔梗种子和幼苗耐盐能力;考察盐胁迫方式对桔梗皂苷积累的影响。方法:采用不同浓度的NaCl处理桔梗种子和幼苗,测�
浙江、辽宁和四川栽培桔梗的比较形态解剖研究 (1995年)
04-26
研究表明,四川栽培桔梗与浙江、辽宁产桔梗同属桔梗科,桔梗属的桔梗(P.grandiflorus[Jacq.]A. DC.)。
北方地区切花新宠——洋桔梗的栽培繁殖技术
01-01
你还在为找不到北方地区切花新宠——洋桔梗的栽培繁殖技术而烦恼么?希望整理发布的这款北方地...该文档为北方地区切花新宠——洋桔梗的栽培繁殖技术,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载...
ie劫持解决方案
03-04
1 用360安全卫士扫描一下木马和流氓软件,插件。清除之。 2 如果局域网用户那很有可能你们网络内部或者网关服务器有ARP病毒。建议杀 3 不排除你自己的电脑有病毒。
驱动劫持清理修复工具
05-21
从后台清除驱动劫持1.32位电脑系统请运行PCHunter32.exe 64位电脑系统请运行PCHunter64.exe 2.点击-驱动模块 如图1 3.点击-文件厂商 如图2 4.拉到最底下显示的驱动 文件厂商栏为空的 一般显示为蓝色 5.右键点击 删除驱动文件 然后再次右键点击 卸载驱动 6.会提示蓝屏 点确定重启电脑即可
浏览器首页被劫持(解决)-桔梗
eather_liang的博客
01-24 3万+
浏览器首页被劫持-桔梗网解决办法: 今天打开浏览器发现首页被劫持电脑上所有的浏览器首页都变成了这样 看了下劫持跳到的网址是桔梗网:http://019edcdefedjdi.jumpkj.chuairan.com/index.html 任你浏览器设置主页链接,没用 百度了一波,发现腾讯管家有个主页保护,先电脑杀毒一波,发现还是不行,然后启动浏览器首页保护,还是不行,好吧,准备删了重装的,意外发现,文件图标有猫腻: 啊这,在图标上做了手脚,不知道最近下载了啥软件干的 好家伙,想直接改掉这个还没权限(
桔梗浏览器劫持
qq_40624810的博客
06-10 9184
被一个叫桔梗浏览器劫持恶心到了,在这里说下解决方法,还是查了一堆资料才解决的。右击浏览器打开属性,我这里是goole,注意在常规属性里的只读 别选勾,不然没法操作。在快捷方式右击打开属性,在目标里 从这后面全删除http://确定就好了...
浏览器被强制修改成 桔梗网—Google, Firefox
DKuhn的博客
07-08 6万+
每次打开浏览器都是桔梗网,如何更改启动项,显示自己设置的内容?解决办法之一:1、找到浏览器 快捷方式 或在 开始 里打开文件所在位置,右键打开属性;2、在目标栏可看到 恶意捆绑软件,将其删除就可以了。若提示无权限,将常规里的 只读 取消即可;3、再次打开浏览器就看到我们设置的启动页了。...
阻止恶意弹出的广告
04-22 298
所谓浏览器劫持是指网页浏览器IE等)被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。 下面我们就来了解一些对付浏览器劫持的方法: 1.编辑hosts文件 HOSTS文件存在于Windows目录下的System32\Drivers\Etc目录中。如果恶意网页将正常的域名映射到恶意网页的IP地址,...
Chrome被桔梗劫持问题,无需删除注册码之类的(已解决)
lukabruce的博客
08-09 2万+
1、找到浏览器 快捷方式 或在 开始 里打开文件所在位置,右键打开属性;   2、找到Google Chrome的快捷方式Google Chrome.link打开后, 我们看到【目标】一栏中多了http://hao.faioo.com或者http://www.jiegeng.com/ 这个地址。这两个地址打开都是桔梗导航。我们把该地址删除 。若提示无法更改应用到Google Chrome....
如何删除浏览器打开默认桔梗导航?
热门推荐
雷德·佛斯号
06-25 16万+
新装机的时候遇到过流氓软件强行设定桔梗导航为默认首页的情况: 而且找也找不到安装位置,无法卸载,用360或者什么管家都不管用,他是通过浏览器的快捷方式 增网址参数 导致的,浏览器设置没有任何效果。 解决办法: 1、桌面找到浏览器快捷方式,以谷歌浏览器为例,右键属性,可以看到安装位置后面追加了桔梗导航链接,而正常情况下是没有链接的,就是这个链接捣的鬼,将”chrome.exe”后面的链接删...
chrome被桔梗劫持解决办法
Jeloys的博客
12-25 2021
右键快捷方式找到chrome的起始位置,然后把此快捷方式删掉! 进入chrome的起始位置,重新生成一个快捷方式放到桌面,劫持问题就解决了, bye bye  桔梗网~...
给我一段用matlab绘图画一朵洋桔梗的代码
最新发布
07-14
当然,我可以给你一个用 MATLAB 绘制一朵洋桔梗的代码示例。以下是一个简单的示例: ```matlab % 设置画布 figure; % 绘制花瓣 theta = linspace(0, 2*pi, 100); r = 0.5 * (1 + sin(theta)); x = r .* cos(theta)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值