JavaScript must be enabled in order for you to see "WP Copy Data Protect" effect. However, it seems JavaScript is either disabled or not supported by your browser. To see full result of "WP Copy Data Protector", enable JavaScript by changing your browser options, then try again.
<meta name="keywords"  content="副业,兼职,网赚,创业,副业刚需,睡后收入,管道收入,财神见习社,兼职干货,副业分享" /> <meta name="description"  content="分享副业兼职干货,小白落地易执行"/>

灰产圈|走进刷量木马的“局中局”

论网络作恶,病毒木马“当仁不让”,它们不仅花样百出、隐藏极深还无孔不入。

近期360安全大脑监测发现一批伪装成破解补丁、网赚工具、刷钻程序等进行传播的木马程序。这些木马在暗地里刷访问量、篡改浏览器首页、弹虚假广告,据统计受其影响的用户已超过10万。

作恶木马手段多,花式入侵令人细思极恐

经360安全大脑分析,此次作恶木马狡诈多端,为达目的不择手段。

首先,木马乔装改变,企图被当作正常程序安装到用户计算机中,一旦成功,不仅不提供卸载项,还会将自身添加为开机自启动,一副“我是主宰”做派。

其次,为了不被发现,且能长时间灵活作案,该木马将进行“刷量”所使用的配置文件都存储在云端并进行多层加密,以便它能够进行自主控制。同时,木马在进行暗刷之前还会对刷量程序进行静音处理,以保持暗刷时完全静音隐蔽,做到“万无一失”。

更为狡猾的是,为躲避其宿敌——360安全软件的强力查杀,部分木马的下载页面中会专门为360提供“特供”的加密压缩包,且会“悉心指导”用户将其添加至360的白名单中,企图混过审查。

此外,木马作恶不停歇。在后台疯狂刷流量的同时,它还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页,以及频繁弹出无法正常关闭的广告窗。

不得不说,在非法利益的驱动之下,木马病毒在隐藏及伪装方面不断进化升级,简直是丧心病狂、绞尽脑汁。

作恶木马胆量大,黑手伸向热门领域且牵扯甚广

据360安全大脑监测发现,该木马所刷流量涉及某狐、某酷等多家知名网站,以及北京、上海、天津等地的6家广告联盟。

刷量内容如下(已隐去部分业务/联盟名称):

同时,该木马不仅将黑手伸向热门领域,暗刷量也极其高。以*狐视频为例,被暗刷的剧集播放量最高已经超过了3000万,最少的也有400多万。

此外,该木马还以庞大的“活跃触角”,不断扩大着影响范围。根据360安全大脑的数据统计显示,仅最近还在活跃的某单一木马样本——在近3个月中就被360拦截过百万次。而整个该家族木马所影响计算机设备数则超过十万台。

而该族系的木马所使用的刷量配置云控域名常年处于活跃状态,并在2018年底的时候更是达到过单日请求量超过10万次的高峰。

如此“活跃”作案之下,全国绝大多数的地区已受其影响。其中,以广东、江苏、山东、河南、浙江五个地区的受影响程度最高。

监控查杀“双剑合璧”,360安全大脑第一时间构建流量防护网

面对作恶者,360安全大脑第一时间对该木马进行了监控与查杀,为广大用户建立起安全防护网。除此之外,安全专家还对该木马做了行为分析,揭露其作恶轨迹:

后台暗刷流量分析:

一旦木马安装到用户计算机,它便会访问云端配置文件获取代刷页面的列表,利用用户计算机进行刷量操作。

而云端所提供的配置列表是通过AES的CBC模式加密的,木马解密时所使用的KEY和IV均通过简单编码后硬编码于程序中,相关代码如下图所示:

分析人员对其配置进行解密之后,看到里面内容包括:刷相关的点击、鼠标操作、页面元素等多达100余项参数。

根据分析时所获取到的配置文件内容,360安全专家又解密出云控刷量URL,内容包括某狐、某酷及对应广告代码等列表。部分片断如下图所示:

静默修改浏览器主页、起始页

除了上述的刷量操作,木马还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页。木马所篡改的浏览器列表如下:

木马篡改浏览器起始页代码如下:

最后

面对擅长伪装、又无孔不入的木马病毒,360安全大脑提醒广大用户:

1、建议前往weishi.360.cn,安装360安全卫士,并保持杀毒软件开启;

2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;

3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀此类病毒木马。

本文来自公众号:IT灰产圈
如有问题,请联系邮箱:980456099@qq.com

为您推荐

发表评论

邮箱地址不会被公开。