娱乐

木马伪装房子视频网上查租房严防中招

2019-05-15 04:34:02来源:励志吧0次阅读

近期有友反馈,在某房屋租售的站上浏览租房信息的时候,根据租房简介中的下载链接,下载了一个名为房子视频的文件点开后,浏览器主页被歹意篡改。360QVM团队时间对该样本进行分析,发现这款名为房子视频的软件是一个流氓推行程序,除了劫持浏览器主页以外,还会在受害者电脑上静默安装多款流氓推广软件,严重影响电脑的正常使用。

所谓的房子视频在解压缩后,文件夹中存放着一个记事本程序和一个名为房子视频.mp4文件,而实质上这个房子视频.mp4文件并非视频文件,它是一个通过超长文件名来伪装成视频文件的恶意程序。当用户在下载后,如果没有仔细查看该文件就点击的话,就触发后续的流氓推行行动。

传播途径:

该样本传播途径主要是通过在一些分类信息站上发布租房信息,以低廉的价格吸引一些急于租房在短期内没法支付高额租金的租户。一部分租户可能会对这种租金低廉的合租房存在质疑,不法分子利用租户这种心理在房源描述中提供了房子视频的下载链接。为了进一步了解房屋情况,大多数租户都会将房源描述中的房子视频下载下来打开,从而中了不法分子设下的陷阱。

样本分析:

当程序执行后会在C:\Documents and Settings\Administrator\Local Settings\Temp\_ir_sf7_temp_0释放加壳文件e,接着通过带参数"__IRAOFF:520716 "__IRAFN:C:\Documents and Settings\Administrator\桌面\房子视频.mp4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .exe""启动e。

而e通过弹窗提示用户视频文件无法播放,而没法播放的缘由是视频文件编码错误。这样一来租户就以为自己下载的房子视频由于编码问题无法播放而关闭窗口,当窗口关闭后,e则会在C:\Program Files目录下释放e和t这两个文件,并且启动e。

C:\Program Files目录下的e程序,签名是SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.,并且加了UPX的紧缩壳。

该程序启动履行后在C:\Program Files下创建WinHomeLite目录,分别释放l、e、l、l、e、e、e这七个文件。该目录下的文件均加了UPX的紧缩壳,签名一样均为SHANGHAI ZHANMENG NETWORK TECHNOLOGY CO.,LTD.后续继续释放了DriverCode_s和DriverCode_s两个驱动文件。

随后通过调用e将WinHomeLite目录下的l添加到服务项中,这里/s是让程序静默运行不显示结果提示框。

接着启动同目录下的e,由e启动e。

而e在启动的时候会检测是不是带参数执行,主要参数有update和uninstall。Uninstall主要功能是卸载,这里主要分析update主要的功能。它会获取系统进程并且检测进程中是不是有杀软进程和2345Service。

程序会通过访问络进行联更新,通过分析程序会与建立链接从而实现更新操作。如果e不带参数启动的情况,它主要作用是启动启动e

e启动后会向建立链接,通过捕获数据包发现程序向该站发送数据。

而篡改租户电脑的浏览器主页的方式通过e安装消息钩子l,接着会检测电脑的浏览器进程。

当用户打开浏览器的时候,即使浏览器主页设置中没有被修改,由于消息钩子l的原因浏览器会自动跳转到指定的站,从而达到一个挟持主页的效果。

浏览器主页被恶意篡改、挟持,这是部分用户常常碰到的问题,而导致这些问题产生的原因主要是电脑病毒和流氓软件被恶意传播。这款房子视频.mp4. . . . .exe流氓软件则是利用在租凭站上发布租凭信息,将本身伪装成视频文件引诱租户下载执行,从而造成用户的电脑上的浏览器主页被篡改成了自己不熟悉的主页址,给用户正常使用电脑造成影响。

在此提醒广大用户不要下载来历不明的文件,不随意点击陌生人发布的链接地址,并开启360安全卫士拦截查杀木马。

痛经不能吃什么
痛经的时候吃什么食物
痛经很厉害怎么办