Potplayer | 音乐 | MXPlayer | PDF | 看图 | OCR | 皮肤 | 壁纸 | 网络 | 搜狗 | 优化 | 浏览器 | 主题 | 下载 | 迅雷 | Android | office | 小说 | 度盘 | windows7

火绒安全:火萤动态壁纸恶意篡改首页 北京众纳鑫海网络技术有限公司

2021.08.27 23:27:56   2,788   5

近期,火绒工程师根据用户反馈,发现火萤视频桌面软件携带恶意组件,执行篡改用户浏览器等恶意行为。由于该软件正在通过其官网和各大下载站进行传播,影响范围较广,根据“火绒威胁情报系统”监测和评估,或已影响超过数百万终端。

本文来源:https://www.huorong.cn/info/1629975652708.html

火绒用户无需担心,火绒已对火萤视频桌面恶意组件及安装包进行查杀。

Image-4.png

查杀图

根据火绒工程师分析,当用户安装该软件后,启动屏保功能出现屏保遮罩时,恶意程序便会在屏幕后公然执行劫持首页的行为,并让用户无法发现;而当用户卸载该软件时,其卸载程序会立即向远控服务器发送请求询问,并根据服务器返回的信息决定是否在卸载后激活恶意程序,继而驻留在用户电脑上持续作恶。

Image-5.png

受影响的浏览器

此外,火绒工程师溯源发现,无论是用户在官网下载火萤视频桌面软件,还是由下载站下载器等渠道推广安装的该软件,其安装包文件的数字签名信息均相同。

Image-6.png

PConline下载器界面

Image-7.png

安装包文件数字签名信息

一直以来,不乏类似火萤视频桌面的商业软件,通过捆绑、流氓推广、篡改首页、劫持浏览器甚至收集用户隐私等恶意行为,来攫取更多利益,严重侵害用户的正当权益。对于此类恶意软件,火绒一直秉着保护用户权益的理念,进行严格的拦截、查杀。

除此之外,火绒工程师也提醒大家,在安装软件前,可使用安全软件进行查杀。同时,尽量不要在下载站下载软件,避免遭遇捆绑、推广行为。或者开启火绒【程序执行控制】—【下载站下载器】功能,规避因下载器带来的软件安全风险。

以下为恶意模块、组件的详细分析与样本hash:

一、 详细分析

1、卸载时保留恶意程序winhost.exe

当用户执行火萤视频桌面卸载程序时,卸载程序会向配置服务器发送请求,根据回文判断是否将winhost.exe删除。如果保留winhost.exe,将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容,注册表自启设置代码如下图所示:

Image-8.png

请求报文内容

Image-9.png

请求报文解密内容

Image-10.png

注册表自启设置

winhost.exe运行后从服务器获取恶意配置

winhost.exe运行后向服务器请求配置json。通过后续代码判断json字段含义:bu为选择浏览器类型,rs为设置首页方式(模拟点击或修改配置文件),hp中为首页链接。如果rs为1,将先启动屏保遮挡屏幕,再使用模拟快捷键方式操作浏览器设置首页。如果rs为2,通过修改配置文件设置首页。获取配置相关代码如下图所示:

Image-11.png

获取配置

Image-12.png

选择设置主页方式

获取配置后,根据bu的值选择4种浏览器之一,并填充相关信息(运行后解密),如:浏览器可执行文件路径,配置文件路径,设置页面链接等。填充配置文件路径,填充浏览器程序路径代码与解密数据如下图所示:

Image-13.png

填充配置文件路径

Image-14.png

填充浏览器程序路径

Image-15.png

解密后数据

所执行恶意行为:

(1)篡改浏览器配置文件

如果rs等于2,则通过篡改配置文件设置首页(如搜狗浏览器config.xml文件,2345浏览器page_fileV2.dat文件)。查找搜狗浏览器配置关键字位置,调用写配置文件方法代码如下图所示:

Image-16.png

查找搜狗浏览器配置关键字位置

Image-17.png

调用写配置文件方法

(2)通过快捷键篡改主页

如果rs值不等于2,启动浏览器进程,向其发送一系列快捷键打开浏览器主页设置页面,设置剪贴板数据为json的hp字段内容,之后CTRL-V粘贴。启动浏览器进程,调用发送快捷键的函数如下图所示:

Image-18.png

启动浏览器进程

Image-19.png

调用发送快捷键的函数

模拟浏览器键盘快捷键时,依次发送按键CTRL-T,CTRL-L,CTRL-V,回车 ,粘贴进入浏览器主页设置页面地址(如搜狗浏览器:se://settings/?category=general.CustomHomePages),检测浏览器窗口名中“设置“,”选项“关键字判断是否进入设置页面。再从浏览器操作对象偏移为0xdc的字段获取链接地址数据,设置剪贴板数据,发送按键CTRL-A,CTRL-V粘贴。发送按键函数,进入主页设置页面,检测设置页面,设置主页代码如下图所示:

Image-20.png

发送按键函数

Image-21.png

进入主页设置页面

Image-22.png

检测设置页面

Image-23.png

设置主页

2、火萤屏保功能组件中的恶意代码

火萤视频桌面主程序中,设置屏保功能使用了文件“火萤屏保.scr“,其中含有与winhost.exe相同的恶意功能代码。设置屏保,屏保进程启动,对比winhost.exe如下图所示:

Image-24.png

设置屏保

Image-25.png

屏保进程启动

Image-26.png

winhost与火萤屏保.scr代码对比

3、溯源分析

火萤视频桌面软件作者为 “北京众纳鑫海网络技术有限公司”,相关著作权信息如下图所示:

Image-27.png

公司信息

Image-28.png

软件著作信息

二、 附录

样本hash

Image-29.png

👍 点 赞 支 持 一 下

相关推荐

发表评论

  1. 1 2021年08月30日 上午10:48  Δ-9楼 回复
    Edge 92 Windows 10

    火绒强啊。不知道得不得罪人。

  2. 奈克驾驶86 2021年08月30日 上午10:03  Δ-8楼 回复
    Chrome 92 Windows 10

    WallpaperEngine它不香吗?

  3. 风吹屁屁凉 2021年08月29日 上午9:14  Δ-7楼 回复
    Edge 92 Windows 10

    改叫火柴啦

  4. hotemp 2021年08月28日 下午7:06  Δ-6楼 回复
    Chrome 89 Windows 10

    紧张地我赶紧看了一下自己的启动辅助工具,原来是叫火柴,不是火萤。
    等等,火柴以前不就叫火萤酱吗?靠!软件帮助里还有火萤的下载链接。不过用火绒扫了一下,没发现啥问题,也没看到winhost.EXE,启动项也正常。

  5. Goodleigh 2021年08月28日 上午8:17  Δ-5楼 回复
    Chrome 92 Windows 7

    这货就是靠着高速下载器捆绑安装做上来的,本来就不是什么好东西。

评论审核不过?点这里

为你推荐

· 正 版 6折 IDM 下载神器

· 正 版 2折 Office 办公软件

· 正 版 2折 Windows10 操作系统

· 正 版 2折 WiseCare365 全能优化

· 正 版 5折 AdGuard 广告过滤神器

· 正 版 4折 白描 OCR文字识别

· 正 版 7折 MindMaster 思维导图

· 正 版 4折 DeepFreeze 冰点还原精灵

· 正 版 5折 Protected Folder 加密工具

本站声明

本站一贯非常高度重视知识产权保护并遵守中国各项知识产权法律、法规和具有约束力的规范性文件。重视官方原版,打击盗版。根据法律、法规和规范性文件要求,本站旨在保护权利人的合法权益的措施和步骤,当权利人发现在本站生成的链接所指向的第三方网页的内容侵犯其合法权益时,权利人应事先向本站发出"权利通知",本站将根据中国法律法规和政府规范性文件采取措施移除相关内容或链接。

本站尊重各网络文件的版权问题,所有软件文件均出自网络,所有提供下载的软件和资源均为软件或程序作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯您的版权,请电邮我们,本站将立即改正。本站对互联网版权绝对支持。

访问本站的用户必须明白,本站对提供下载的软件等不拥有任何权利,其版权归该资源的合法拥有者所有。 

本站保证站内提供的所有可下载资源(软件等等)都是按“原样”提供,本站未做过任何改动;但本网站不保证本站提供的下载资源的准确性、安全性和完整性;同时本站也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。 

根据二00二年一月一日《软件保护条例》规定:为了学习和研究软件内含的设计思想和原1理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!鉴于此,也希望大家按此说明研究软件!谢谢!

不论何种情形我们都不对任何由于使用或无法使用本站提供的信息所造成的直接的、间接的、附带的、特殊的或余波所及的损失、灵失、债务或中断负任何责任﹝不论是可预见或是不可预见的,即使我们巳被告知这种可能性﹞。

未经本站的明确许可,任何人不得大量链接本站下载资源;不得复制或仿造本网站。本网站对其自行开发的或和他人共同开发的所有内容、技术手段和服务拥有全部知识产权,任何人不得侵害或破坏,也不得擅自使用。