激活工具带毒感染量近60万 北京等四城市用户不被攻击
发布网友
发布时间:1天前
共1个回答
热心网友
时间:27分钟前
一、概述
近期,火绒安全团队发现知名下载站"系统之家"的用户在下载"小马激活"及"OFFICE2016"两款激活工具时,被植入病毒"Justler"。病毒作者会避开北京、厦门、深圳、泉州等地区,该病毒会劫持用户浏览器首页,感染量已近60万。非上述地区的用户下载的软件可能带毒。
病毒"Justler"通过"系统之家"传播,当用户访问"系统之家"下载指定工具时,根据IP地址选择是否跳转到被植入病毒的下载链接。同时,"系统之家"还提供了带有病毒的系统盘下载。一旦运行激活工具,病毒即被激活,篡改浏览器首页。
火绒安全团队发现,利用激活工具和系统盘传播病毒和流氓软件的现象增多。"火绒安全软件"可拦截并查杀病毒"Justler"。已感染病毒的非火绒用户,可使用"火绒专杀工具"进行彻底查杀。
二、样本分析
病毒伪装成激活工具,释放恶意驱动进行流量劫持。病毒来源为名为"系统之家"的软件站,该站点在百度搜索结果中排名第一,提供带病毒的系统盘和激活工具。病毒下载页面根据IP变化,通过脚本跳转至百度云盘链接,其中IP对应北京等四城市的链接为无毒版本,其他地区则为带毒版本。
病毒样本由三层释放器构成,具有检测安全软件并提示用户退出的功能。释放器释放恶意驱动jus3310s.sys,劫持浏览器启动参数,影响受影响浏览器。
恶意驱动首先检测映像文件名是否为浏览器文件名,如果父进程为桌面进程(如explorer等),则对启动参数进行劫持。病毒整体结构包含检测、释放、劫持等关键组件,实现对用户浏览器的控制。
三、溯源分析
类似带毒激活工具在"系统之家"网站存在多个版本。通过排查发现,此类病毒样本可能出自同一作者。带毒激活工具和系统盘中的恶意驱动样本具有高相似性,使用相同代码逻辑。
四、延伸样本分析
火绒发现利用激活工具和系统盘传播的病毒和流氓软件趋势增加。"主页守护神"通过"云骑士装机大师"下载带有流氓软件的系统镜像,本地安装以达到传播目的。该软件具有首页锁定功能,同时包含软件推送逻辑,可能用于进行软件推广或广告程序推广。
五、附录
文中涉及样本SHA256值。
