银行信息网

当前位置: 主页 > 银行贷款 > 银行贷款利率 >

HTTPS劫匪玩出花样,劫持优酷及各大电商流量

时间:2019-05-09 14:54来源:{银行信息网} 作者:{银行信息网} 点击:
近期,360安全大脑迅速感应并查杀了HTTPS劫匪木马的最新变种,该木马通过色情网站进行大肆传播,日均感染机器八千余台。感染用户机器后,HTTPS劫匪木马会向Google Chrome,QQ浏览器,搜狗浏览器等多款浏览器添加购物党全网自动比价工具,惠惠购物助手,充值

近期,360安全大脑迅速感应并查杀了HTTPS劫匪木马的最新变种,该木马通过色情网站进行大肆传播,日均感染机器八千余台。感染用户机器后,HTTPS劫匪木马会向Google Chrome,QQ浏览器,搜狗浏览器等多款浏览器添加“购物党全网自动比价工具”,“惠惠购物助手”,“充值助手”,“购物盒”等恶意插件,劫持浏览器流量。

   此外,最新的变种也保留了利用kangle web服务器进行中间人劫持的攻击手法,而且劫持方式更加多样化,如劫持2345导航页面的电商连接,劫持优酷视频,向里面添加广告,劫持网络广告服务商的推广链接等,但是纵然花样百出,病毒作者的目的也只有一个,那就是将用户的正常流量替换为携带病毒作者渠道号的异常流量,通过刷量牟取高额的收益。 

  感染过程

   通过360安全大脑统计,该病毒是由大量的色情网站进行传播,当用户访问携带病毒的色情页面时,页面会提示用户下载“专用播放器”,而播放器的下载链接即为病毒链接,经过分析发现,该链接并不会下载任何播放器,只会传播HTTPS劫匪木马。 

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

  xing.exe是一个winrar的自解压程序,运行后将各病毒模块解压到对应文件目录,完成病毒环境的快速部署,自解压程序包含如下注释:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

   添加恶意浏览器插件

     HTTPS劫匪向多款浏览器添加恶意插件,其中包含劫持用户流量的恶意js脚本,插入的恶意插件信息如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

  虽然插件诸多,但是各个插件中用于劫持流量的恶意脚本类似,以谷歌浏览器为例,include.postload.js用于劫持流量,相关的代码逻辑,如下图所示:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

当访问的请求是劫持列表中的网址时,会执行l.js,l.js会根据不同的网址添加不同的推广号,百度劫持规则如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

Hao123,duba,hao360等常见导航站则被劫持为https[:]//www.2345.com/?k39627413,劫持规则如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

   利用kangle实现中间人劫持

HTTPS劫匪利用CertUtil.exe将ca11.cer添加到证书管理器的“受信任的根证书颁发机构”中:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

  释放在“C:\kl”目录下的Apache.msi是一个kangle- 3.1.8版本的web服务器,因为跨平台,功能强大,安全稳定,易操作等特点,被病毒作者所利用。利用“msiexec /i C:\kl\Apache.msi /qn”安装kangle服务器并启动, 在本地访问https[:]//127.0.0.1可以看到如下所示的页面:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

Kangle服务器启动后,C:\hos\h357.php开始工作,用带毒的hosts文件替换系统原始的hosts文件,利用hosts文件将用户流量重定向到127.0.0.1,相关代码如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

  病毒会将Kangle服务器etc目录下的config.xml进行替换,每次服务启动后会读取config.xml的内容进行https劫持,config.xml中关于劫持的规则如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

   脚本中执行的l.js与恶意插件使用的劫持脚本相同,但是调用的功能却更加丰富,最新的HTTPS劫匪木马采用浏览器恶意插件和kangle中间人劫持两种方式,将正常的流量交由l.js处理,下面就具体分析l.js的主要功能。

  向优酷页面插入广告

病毒会劫持优酷视频v.youku.com,在页面中插入广告页面,相关劫持逻辑,如下图所示:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

  劫持2345导航页的电商链接

    HTTPS劫匪会劫持www.2345.com,将页面中的百度,爱淘宝,贷款,京东,聚划算,天猫,苏宁等电商链接进行劫持,替换成病毒作者的推广链接,刷量以牟取暴利。相关劫持逻辑如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

劫持广告商推广广告

劫持百度,360,聚胜万合,搜狗,阿里,doubleclick等网络广告服务商的广告推广链接,以劫持百度为例,代码逻辑如下:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量
 

 

劫持后替换为各式各样的网络广告,在我们分析过程中共发现以下8种不同的页面广告:

 

HTTPS劫匪玩出新花样,劫持优酷及各大电商流量

 

查杀建议

   1,打开360安全卫士浏览器防护中的网页安全防护功能,能自动对危险网站进行拦截,避免用户受到挂马,欺诈等威胁。

   2,360安全卫士已查杀最新的HTTPS劫匪木马,建议受影响的用户通过weishi.360.cn下载查杀。

请牢记银行利率网址http://www.bookiki.net。(www.bookiki.net)。 原文链接http://www.bookiki.net/a/yinxingdaikuan/yinxingdaikuanlilv/1108.html 转载请注明出处!

想赚钱的顶一下
(0)
0%
不想赚钱的踩一下
(0)
0%
更多
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片