我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:小鱼儿玄机二站之姐妹 > 起始页 >

暗地刷量、篡改浏览器、弹虚假广告作恶木马花样乔装又来袭

归档日期:05-16       文本归类:起始页      文章编辑:爱尚语录

  论网络作恶,病毒木马“当仁不让”,它们不仅花样百出、隐藏极深还无孔不入。近期360安全大脑监测发现一批伪装成破解补丁、网赚工具、刷钻程序等进行传播的木马程序。这些木马在暗地里刷访问量、篡改浏览器首页、弹虚假广告,据统计受其影响的用户已超过10万。

  经360安全大脑分析,此次作恶木马狡诈多端,为达目的不择手段。首先,木马乔装改变,企图被当作正常程序安装到用户计算机中,一旦成功,不仅不提供卸载项,还会将自身添加为开机自启动,一副“我是主宰”做派。

  其次,为了不被发现,且能长时间灵活作案,该木马将进行“刷量”所使用的配置文件都存储在云端并进行多层加密,以便它能够进行自主控制。同时,木马在进行暗刷之前还会对刷量程序进行静音处理,以保持暗刷时完全静音隐蔽,做到“万无一失”。

  更为狡猾的是,为躲避其宿敌——360安全软件的强力查杀,部分木马的下载页面中会专门为360提供“特供”的加密压缩包,且会“悉心指导”用户将其添加至360的白名单中,企图混过审查。

  此外,木马作恶不停歇。在后台疯狂刷流量的同时,它还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页,以及频繁弹出无法正常关闭的广告窗。

  不得不说,在非法利益的驱动之下,木马病毒在隐藏及伪装方面不断进化升级,简直是丧心病狂、绞尽脑汁。

  据360安全大脑监测发现,该木马所刷流量涉及某狐、某酷等多家知名网站,以及北京、上海、天津等地的6家广告联盟。刷量内容如下(已隐去部分业务/联盟名称):

  同时,该木马不仅将黑手伸向热门领域,暗刷量也极其高。以*狐视频为例,被暗刷的剧集播放量最高已经超过了3000万,最少的也有400多万。

  此外,该木马还以庞大的“活跃触角”,不断扩大着影响范围。根据360安全大脑的数据统计显示,仅最近还在活跃的某单一木马样本——在近3个月中就被360拦截过百万次。而整个该家族木马所影响计算机设备数则超过十万台。

  而该族系的木马所使用的刷量配置云控域名常年处于活跃状态,并在2018年底的时候更是达到过单日请求量超过10万次的高峰。

  如此“活跃”作案之下,全国绝大多数的地区已受其影响。其中,以广东、江苏、山东、河南、浙江五个地区的受影响程度最高。

  面对作恶者,360安全大脑第一时间对该木马进行了监控与查杀,为广大用户建立起安全防护网。除此之外,安全专家还对该木马做了行为分析,揭露其作恶轨迹:

  一旦木马安装到用户计算机,它便会访问云端配置文件获取待刷页面的列表,利用用户计算机进行刷量操作。

  而云端所提供的配置列表是通过AES的CBC模式加密的,木马解密时所使用的KEY和IV均通过简单编码后硬编码于程序中,相关代码如下图所示:

  分析人员对其配置进行解密之后,看到里面内容包括:刷相关的点击、鼠标操作、页面元素等多达100余项参数。

  根据分析时所获取到的配置文件内容,360安全专家又解密出云控刷量URL,内容包括某狐、某酷及对应广告代码等列表。部分片断如下图所示:

  除了上述的刷量操作,木马还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页。木马所篡改的浏览器列表如下:

  3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀此类病毒木马。

本文链接:http://shivatamil.com/qishiye/23.html