仿软件、劫 站、插广告、窃隐私，还有什么是他不敢干的？

对这些下载器分析，我们发现恶意下载器仿冒了超过3500款软件，涵盖办公、行业、设计、媒体等常见类型，其在启动后会静默向浏览器安装恶意扩展，该扩展通过云控在用户访问的其它 站中插入广告、劫持电商、导航、私服等超过6000个 站，此外扩展还会收集用户的上 数据甚至会收集用户在360论坛、QQ电脑管家论坛的发贴反馈情况；所有劫持规则均通过云端下发并使用AES、DES进行加密。

样本分析

01

下面以其中一个“Microsoft Office Word 2010破解版@377.exe”为例进行分析：

仿冒Word恶意下载器页面

首先，下载页面会判断Referer是否来自于搜索引擎以及地区等信息后才会返回木马下载器的下载链接，并且几乎每次请求到的木马下载器的Hash值都不一样，猜测是以此来躲避一些自动抓取和自动分析工具。

恶意页面根据条件判断实时生成的下载链接

木马下载器被下载到本地执行后，界面如下图所示：

木马下载器界面

而如果分析人员直接访问该页面，则会返回普通的下载器的下载链接：

直接访问恶意页面得到的普通程序

我们通过脚本提取到被该木马伪装的其它软件，发现有超过3500款，涉及到的办公类软件超过40款

被伪造的安装包名称关键词

上面提到涉及到的超过40款办公类软件如下:

被伪造的办公软件安装包信息

02

代码分析

Ⅰ

检测环境，

大量推装软件、木马，篡改浏览器首页

木马一旦开始运行，会首先通过远程链接获取后续工作所需的配置文件

通过链接获取后续行为配置文件

获取到配置文件后，会先根据其中内容检测杀软、常用抓包工具、ARK工具，甚至还会检测远程桌面、远程协助等工具。

配置文件中获取到的安全分析工具进程名

检测当前系统环境后，会从配置文件中解出需要推广的程序下载链接列表。这些程序中除一般意义上的推广程序外，也会带有一些其他木马程序。

配置文件中解出的推广链接

此外，木马还会篡改浏览器首页。篡改的地址为从云控配置中解密出的这些链接中选择其一。

配置文件中修改主页的链接列表

Ⅱ

安装扩展，劫持 站，窃取隐私

木马在完成上述工作后，会连接云端静默安装恶意浏览器扩展文件，劫持导航、电商、私服等 站、收集用户上 数据甚至会收集用户去安全软件论坛的反馈信息，通过云控配置会随机化扩展的名称、版本 等信息以对抗杀软的清理。

木马在完成上述工作后，会连接云端获取到大量恶意浏览器扩展文件进行静默安装。

大量恶意浏览器扩展

被安装的扩展代码进行了大量混淆，用于劫持的关键代码均从云端实时获取且进行了多层的加密，甚至每一层加密都使用不同的加密密钥：

DES算法加密后的云控劫持规则

解密出其中一个云控的劫持规则会劫持多个导航及搜索页面

劫持导航及搜索页

此外，我们还发现了劫持电商 站的部分代码：

电商页面劫持代码

不同版本的劫持规则会略有差异，下图为另一个版本解密出的劫持规则代码

搜索页面劫持代码

电信充值页面劫持代码

在劫持页面的同时，这些浏览器扩展还会尝试模拟鼠标点击导航页面，以此增加点击量赚取更多佣金。

模拟鼠标点击导航页面

更有甚者，代码还收集了用户在360论坛、QQ电脑管家论坛中发贴情况，以及在VirSCAN.org 站提交样本扫描的文件信息。猜测是收集用户去这两个论坛反馈木马问题以及是否将其木马文件提交检测。

监控对安全论坛及多引擎扫描 站的访问情况

回传360、QQ管家等论坛的发帖标题

回传VirSCAN扫描的样本信息

同样的，木马还会将用户在浏览器地址栏中输入的URL地址回传到自身服务器。

回传浏览器地址栏中的URL

还有一个版本的扩展会通过云控判断地区，并在特定地区用户的正常访问页面中插入一个300×300的浮动广告。

向页面中插入浮动广告

安全提示

安装有360的用户无需担心，360可轻松拦截此类木马攻击。

安全建议

360安全大脑建议广大用户：

1. 尽量选择官 等正规渠道安装软件，以免自己的电脑成为不法分子控制劫持的工具。
2. 如发现浏览器被插入恶意广告，访问正常 站出现自动跳转到带计费链接的 站时尽快使用安全软件进行查杀。

IOCs（部分）

01

HASH

02

URLs

http://pl.khl666[.]com/dxtw/kblr.htm?

http://pz.antsysht[.]com/config

03

CRX IDs

cgolhhnfballfndeflinfanccpjikdmi

ankenbdhlppgkfmabdmbfdokacfpnhea

eopeikmffmlmgleomnimojfpigfjpjab

kaahkldkddbnidfalodnlbdlbcmkbkfj

ljljknaclekggpkbbjpbhjacgcngfcgp

gabccfgplagmjhahelcodjflcpaadldk

hcppkcennmjaafoffcpjnmpepepcklbg

kkjjdgmjadhdlcpebcjfppmefkmhjbio

egnlheliebooaeheaoabldecpmcneehp

bbpabafaggklfannggfocipmnogbojam

gadhochknhbcnklhdohlmdeidlfogbad

comfmchjneommdoncjhagbkidolibgil

hhkjfpeknmpgghnoojenpkjhginoomjp

hkoopbbimnmoelagpjeoamgahnccmggc

kkpidjggcleolfljongchppheeoibeca

mjegnnlmmolelplmadidfccgbhokmhpo

lehjanbmddecbhgnnncapflmglinppcj

figbiejimdgnhdefdigjmcgfbhppcmlh

jjmnodmnjioloohkajephjnljefnpofk

npdmbbiopnooephgmjlebjgkkhljambm

anamdmjnllfgnoamcnlafmhemfcppbbc