多款游戏成劫持木马藏身之所计算机浏览器沦为受害重灾区

随着近年来电竞游戏的不断火爆，越来越多的用户习惯于把饭后的时间交给这些“氪肝杀手”。很多玩家因为渴望尝试新鲜事物，经常在不同的下载渠道下载安装游戏，却没有注意到游戏下载过程中的安全隐患。如果你有过中毒的经历，我相信当你闻到“毒药”时，分钟会让你未来的游戏生涯发生转变。

自称老玩家的小王今年15岁。因为对电脑游戏的热爱，他每个周末都在忙碌的游戏时间里花很少的时间学习。因此，小王的游戏时间经常被父母挡住。实施监督。不过由于与父母多年的斗智斗勇，他早就熟悉了偷偷玩游戏后如何快速关机、电脑屏幕快速降温的秘诀。

近日，游湖网（hxxp://dj.dianjinghu.com）上一款传闻已久的游戏《怪物猎人：世界》点燃了他的体验欲怎样修改主页不被篡改，但打开安装程序后，才发现我的浏览器首页、默认搜索页、浏览器收藏等信息被恶意篡改。

那么问题来了，这次小王的游戏行为会被父母发现吗？显然，答案是肯定的——毕竟，如果你连浏览器的主页都被修改过，你都没有注意到，那只可能是他爸爸从来没有打开过浏览器。

很多游戏都成了劫持木马的藏身之所

电脑浏览器成为重灾区

其实小王的遭遇并不是一个孤立的案例，它源于最近流行的一种劫持木马病毒。经过360安全大脑的监控和溯源，木马传播器重新包装了《孤岛惊魂5》、《怪物猎人：世界》、《极品飞车20》、《鬼泣5》、《边缘》等知名游戏世界”。并加入木马程序，然后通过优虎游戏网（hxxp://dj.dianjinghu.com）进行传播。经过深入分析，发现该木马存在劫持浏览器首页和默认搜索页面、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器cookie等恶意行为。其主要执行流程如下：

首先，游戏安装完成后，用户点击桌面游戏快捷方式启动游戏后，会先请求hxxp://down.qm188[.]com/yhlock.7z获取压缩包文件yhlock.7z采用AES加密，压缩包经过AES解密后，解压释放demo.dll，加载其导出函数plugin_lock()。相关代码如下图所示：

之后，调试yhlock.7z并解密成PE文件后：

文件加载到内存后，会继续从down.qm188[.]com/check.7z下载一个同样用AES加密的压缩包。解密解压后包含一个Lock.dll并加载执行（PDB信息：d:Browser relatedLockreleaseLock.pdb），调试并解密check.7z为PE文件：

狡猾的避杀软监控开启神奇的战斗方式

山东、福建、四川网友纷纷吐槽

值得一提的是怎样修改主页不被篡改，这个DLL文件封装了市面上超过15款主流浏览器的劫持修改功能：

demo.dll主要执行：

1、篡改浏览器收藏夹，静默替换收藏链接；

2、篡改浏览器cookie

3、安装浏览器扩展（带劫持功能）；

4、获取浏览器历史记录

5、锁定浏览器主页，其中包含：

hao123.com/?tn=98625814_hao_pg

n0d.qq.1230578.com/%d.html

sg.123.1234034.com/%d.html

2345.hao3603.com/%d.html

确定反软件并修改IE浏览器首页相关代码

伪造浏览器的cookie会修改host_key为.hao12的代码的cookie部分3.com

另外，锁定的导航链接不是固定的，而是通过生成随机数拼接一个随机的导航链接地址，通过随机数控制一定的概率选择锁定的链接为host和不同的secondary网站域名。此举可能是为了避免对一些被篡改过同一个链接的杀毒软件和浏览器进行监控。相关代码如下图所示：

受该木马影响的主要用户区域分布与其他木马似乎不一致。山东、福建、四川的网民成为主要受害者。

从这起劫持木马传播的案例中不难看出。随着网络空间形势的日益严峻，计算机病毒的传播方式也越来越多样化，无时无刻不在威胁着个人、企业乃至国家的安全。

因此，我们特别提醒用户采取以下防御措施：

1、尽快前往weiishi.360.cn，下载安装360安全卫士，有效拦截各类病毒木马病毒攻击，保护计算机隐私和财产安全；

2、下载游戏时尽量使用正规下载渠道；

3、对于杀毒软件上报的程序，不要轻易添加信任或退出杀毒软件。

国际奥委会

SHA256：

58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d

abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f

9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9

网址

down.qm188[.]com/check.7z

down.qm188[.]com/yhlock.7z

[.]com/?32772-0009

[.]com/?tn=98625814_hao_pg

daohang.qq.com.cn0d.qq.1230578[.]com/%d.html

123.搜狗网.cnsg.123.1234034[.]com/%d.html

[.]com/%d.html

hao.360.cn.com.360.1230578[.]com/%d.html

hao.360.cn.com.360.hao3603[.]com/%d.html

bz.dashi88[.]com/?scj

yx.hao3603[.]com

bd.hao3603[.]com

tm.hao3603[.]com

CRX ID

mhcakmpdiokfhiladgifhfklgmniohn 温和的新标签