1. 首页
  2. 网络安全新闻

病毒下载器推装超过30款软件 搜索引擎广告成为最大"帮凶"

腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,其传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器、flash player等知名软件。病毒下载器运行后会联网获取推广配置文件,根据配置文件的定义静默推装超过30款软件,此外还会通过锁定浏览器主页及添加网址收藏夹等获得收益。

根据腾讯安图高级威胁追溯系统统计,该病毒五月初开始活跃,每天中招下载的用户近万,累计已有数十万用户电脑被感染。

传播趋势

以flash player为例,在某搜索引擎里搜索关键字“flash player”,搜索结果第一条展示的就是伪装的flash player官方下载页面(带有广告字样)

点击进入后是一个名为“软件管家”的下载页面,点击该页面任一链接都会下载该病毒下载器。该病毒下载器的文件MD5会频繁变换更新,主要意图是防止安全软件检测后拦截。

病毒下载器推装超过30款软件 搜索引擎广告成为最大"帮凶"

该病毒下载器运行后会发起请求获取配置文件,配置文件地址为:

hxxp://peizhi.bsrbt.com/xzqini/read.php/t_ads/mid_000C29A745B5/d_2019022109/n_xzq/c_xzq-/rgn_440000/ctd_440300/cnt_CN.gif,配置文件中有要推广安装的软件。

目前在该配置文件列表中有超过30款软件推广,只要用户一运行该病毒下载器,电脑便会静默安装包括“迅捷助手、模拟大师、灭神游戏、拷贝兔趣压”等一大堆软件,而不是安装用户通过搜索引擎寻找的那款软件。

除了软件推装,病毒还会篡改浏览器设置,添加收藏夹及进行主页劫持,通过云端下载Dll文件broagent_soft.dll进行添加包括天猫红包,淘宝购物等到收藏夹,Dll文件的下载地址也在云端的配置文件中。

通过篡改注册表网址导航及浏览器快捷方式启动参数的方式进行主页劫持,篡改的导航网址同样在配置文件中,浏览器以参数hxxp://990.jlbtcg.cn 启动,最后跳转到带推广id的某网址导航站。

IOC:

DNS:

peizhi.bsrbt.com

dsoft.lkmzv.cn

down.ttp1.cn

MD5:

4f5a76433623c306f2de4828e18d4599

9a87ec896c9b029ef4eb55e1956612b9

776b1c0a68aa00c8b7473008164d36b3

b9e64c1bc2fdb434d3b09959735fd7d5

290fca119066d8ed090012a02393f72e

2e95fe28390b36365ad2d088b8446dbe

3fcf5fb527dbf90c2d888bd66102699a

3f79cbd01e8153224be4b0cca54c7a71

06929d1ebc78ed94782d968ed4caae80

791f5c1654a37aeb74d119ede603d271

a29f3b4c0efa274f69fe68dc808c766f

ba6138b0a49371a41b9aa92de4d1144a

fd65edb5a9c211120406eb309c51d018

77df998baabaa41d73997f0bc8960a28

8b7ebccf477faed3f7dcd8e2c07547a4

3c49530f2532d7d8fa2fa13b0137cba9

9c0c2006a63e8d0408dc67d9f79de720

3fda928d785e79bb40c9207e8595ba80

72771f431978b6bab01c5af6d574ce26

c5d4a09399b577961b4d8e9373338e09

3fca456aafeb975bbe2d4a352993d87b

a0a990e1e3cc60b11622cc82f49efc84

d48067609eec2559d286409fc5937d26

c548b185e55664a4e1819233e4b16c07

718a6c75760f8ad2e89b53a1e91da218

5d2536d26d1b12f534a5e347bd772343

edc70063bc2f59901e7b84d2a0920924

95ceaa05e50c3306489e7af79437313c

cc15e3e31c544a1025429217fc629e6c

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/3431.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注