UU 页游助手升级通道传播独狼 Rootkit 病毒,已感染上万台电脑
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA
一、概述
腾讯安全威胁情报中心检测发现,UU页游助手通过其软件升级通道,传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播,使得独狼Rootkit病毒在短时间内感染量激增,受害网民已过万,分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。
二、病毒分析
UU页游助手安装完毕后,会在安装目录内安装名为PopTip.exe的模块,该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。
PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等,例如下图中从云端拉取的Mini页信息。
由于广告窗口没有显示厂商标识,没有广告来源信息,该软件在系统托盘区闪动消息提示,点击后会自动创建桌面页游图标,这些行为令用户十分反感。而PopTip.exe模块提供的升级功能,较多使用了流氓手段恶意推广安装,其中甚至包含病毒木马文件。
PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件:该窗口右上角的关闭按钮,无论如何点击均无法关闭,该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊,颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成,UU游戏助手则进行全程静默安装行为。
当前版本的poptip.exe模块通过以下两个地址,拉取推装程序到Roaming目录静默安装执行:
hxxp://www.fikuu.com/app/YXConvert_105301.exe(亿迅图片转换器)
Hxxp://www.jia7788.top:7788/new/a109.exe(数据优化服务:实际为病毒文件)
a109.exe模块会判断当前系统内是否包含安全软件的进程,当进程存在则向其窗口发送WM_QUIT尝试退出相关进程,同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码,释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序,将独狼Rootkit模块植入到系统内。
独狼Rootkit病毒,该病毒的特点之一是通过创建Minifilter文件过滤系统,用户使用系统文件管理器就会发现Drivers目录不可见,同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是,当你试图查看那些莫名其妙进来的随机文件名驱动文件时,你看到的实际是acpi.sys。
独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。
独狼rootkit病毒会向浏览器进程注入恶意代码,实现劫持浏览器启动命令行,达到主页劫持的目的。
分析发现,当前主页配置信息暂未下发,病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期,保留了部分恶意行为暂不执行,当其感染量到达一定程度时,再随时下发劫持指令,实现浏览器劫持功能。
独狼Rootkit病毒可劫持数十款主流浏览器软件,包括IE、Chrome及其他国内用户常见的浏览器等等:
以插apc的方式向浏览器注入恶意代码:
我们通过对该病毒以往版本的分析,知道该病毒可以简单修改或升级配置,实现对浏览器主页的锁定功能,通常会将浏览器主页劫持到带推广id的2345广告站点。
当前病毒配置
简单构造病毒劫持配置文件desktop.ini
打开浏览器主页发现主页已被劫持到指定地址:
三、解决方案及安全建议
网上各种小众工具软件分发渠道良莠不齐,不少软件下载站暗藏玄机,很容易下载安装不需要的软件,甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件,或者通过腾讯电脑管家的软件管理功能下载需要的软件,启用腾讯电脑管家的权限雷达,帮助过滤软件包中存在的静默安装、恶意弹窗,管理开机自动运行等有损用户体验的情况发生。
腾讯电脑管家查杀UU页游助手
管家急救箱清理独狼Rootkit木马
IOCs
MD5:
717d43d175430844467993ac4834396f
21a9876550dcebe12df9ec1011a01035
75f39f61ecc20a088766eb319d1ec9e2
7652ad8e2c69bef67c786eff3e9e3ef3
51991e47adb0b9160f077a0fc722f115
238b0180e66d16309efe50143b46560d
94f31a6d0d3243811705e0c9796cf060
8ec5ee614f76d0c547e2b76a52e8dae2
1374c22e5c861813c82bf6a1c8c159f9
Domain:
www.jia7788.top
update.uuyyzs.com
URL
hxxp://update.uuyyzs.com/query_action.php(UU页游助手云控地址)
Hxxp://www.jia7788.top:7788/new/a109.exe(独狼病毒母体投递地址)
“UU 页游助手升级通道传播独狼 Rootkit 病毒,已感染上万台电脑” 的相关文章
新型 LokiLocker 勒索软件会擦除整个 PC 上的文件
黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC...
一款家用新冠检测电子试剂盒存在漏洞 可让用户伪造结果
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进...
美参议员关注黑客利用警察的电子邮件账户窃取用户数据一事
美国参议院议员开始注意到关于黑客伪造”紧急数据请求”以获取苹果等科技公司数据的报道,其中一位开始调查隐私问题。3月29日,一份报告显示,黑客正在利用其所俘获的政府和警察电子邮件账户,使他们能够假装成执法官员。通过使用电子邮件账户和连接服务,黑客能够在某些情况下向科技公司索取数据。 具体来说,黑客们...
因未能披露挖矿对业务的影响,英伟达被罚 550 万美元
美国证券交易委员会 (SEC) 5月6日发布声明,称对芯片制造商英伟达的指控,双方已达成一致,英伟达承认未能充分披露挖矿对其游戏业务的影响,同意支付550万美元的罚款。 此前,SEC认为,从 2017 年开始,已有越来越多的用户使用英伟达生产的游戏显卡(GPU) 来挖掘加密货币,但在2018财年的...
零日漏洞允许在 macOS 系统上运行任意命令
独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。 这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Di...
针对近期异常登录 LastPass 回应:暂无证据表明数据泄露
针对有用户报告称存在未经授权的登录尝试之后,LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示,用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录...
评论列表
发表评论
