综述
百度官方也于近日发布消息承认此事件,并且告知用户受感染的下载链接已经全部替换。
相关链接:
传播与感染
样本通过hao123下载器绑定安装,至发稿时间为止,hao123方面已将所有受感染的下载器链接地址替换。
样本分析
文件结构
文件列表如下表所示:
主要功能
样本文件通过被植入的恶意代码运行并生成,可以通过云端与远程的劫持者C&C服务器进行通信,用来劫持用户的导航网站,电商网站等流量信息。具体内容如下:
●设置启动项:样本设置指向自身的启动项,便于在机器重新启动后再次执行;
●下载与更新恶意样本:样本连接远程服务器下载或更新自身,确保自身可以持续为攻击者服务;
●流量劫持:样本会劫持用户流量到推广导航站,为攻击者谋取利益;
●随机性隐藏: 样本根据既定概率取随机数来判断自身是否执行恶意行为,加大用户发现异常的难度,提升自身的隐蔽性;
●反杀软: 样本可以统计用户计算机中安装杀毒软件的数目与种类并上报至远程C&C服务器,由攻击者决定是否还要持续对用户的控制。
网络行为
样本和远程C&C服务器service.123juzi.com或者update.qyllq.com进行通信, 以更新自身和接受流量劫持方案的配置指令。
启动方式
样本会在主机重新启动之后自动执行,导致自动执行的设置如下:
设置名为LcScience的系统服务,随系统启动而执行。
攻击定位
如下图所示,通过对该样本的网络行为进行简单的跟踪,发现域名update.qyllq.com [180.150.189.76]与域名service.123juzi.com [106/75/74/188] 分别位于北京和上海。
防护方案
用户自我检测
●检查注册表HKLMSYSTEMCurrentControlSetService 下是否存在以下键:
LcScience
msxconfig
WaNdFilter
●User目录及其子目录下是否存在名为HSoftDoloEx的文件夹。
选择删除相关文件可以有效清理该恶意样本。
绿盟科技木马专杀解决方案
绿盟科技针对该木马可以向客户提供专门的中、长期服务:
●中期服务:提供3-6个月的风险监控与巡检服务(IPS TAC 人工服务)。根除风险,确保事件不复发。
●长期服务:基于行业业务风险解决方案(威胁情报 专业安全服务)
总结
作为流量劫持工具,样本发展出了更加智能和隐蔽化的攻击方式,它可以根据攻击者所定义的参数而指定流量劫持概率的攻击方法是不易被用户发觉且毫无规律的。虽然该样本在躲避沙箱和杀毒软件方面没有更高的建树,但依旧可以将其作为一个具有一定规模及危险性的威胁来看待。
完整内容请点击“阅读原文”
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。
绿盟科技拥有对此安全公告的修改和解释权。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
请点击屏幕右上方“…”
NSFOCUS-weixin
↑↑↑长按二维码,下载绿盟云APP
