安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“锁大师”暗刷流量劫持主页,已影响百万用户

近日,金山毒霸安全实验室监控到一款名为“锁大师”的流氓软件,该软件已开始大规模强制劫持用户浏览器主页,暗刷流量。 “锁大师”主要通过软件下载器为载体进行传播安装,预估受影响的用户量在百万级别。

“锁大师”暗刷流量劫持主页,已影响百万用户

图:“锁大师”以下载器为载体进行传播

“锁大师”暗刷流量劫持主页,已影响百万用户

图:”锁大师”下载地址

1、 “锁大师” 堪称一个Rootkit木马隐蔽性较高

它会通过创建文件过滤,将自己重定向到微软的文件上(ntkemgr.sys[恶意驱动]->重定向->partmgr.sys[微软正常驱动]),这样一来肉眼看则是正常文件,恶意驱动自身不会被发现。

“锁大师”暗刷流量劫持主页,已影响百万用户

“锁大师”暗刷流量劫持主页,已影响百万用户

图:文件重定向后

“锁大师”暗刷流量劫持主页,已影响百万用户

图:文件过滤

2、 “锁大师”使用KeUserModeCallback 注入Ring3并插入shellcode 进行PE文件的加载

“锁大师”暗刷流量劫持主页,已影响百万用户

“锁大师”暗刷流量劫持主页,已影响百万用户

3、“锁大师”恶意模块劫持用户浏览器主页

“锁大师”暗刷流量劫持主页,已影响百万用户

4、“锁大师”除了劫持主页外还会恶意暗刷广告

“锁大师”暗刷流量劫持主页,已影响百万用户

目前,金山毒霸安全中心已经针对“锁大师”家族的流氓软件加强了清除和防御措施,可使用金山毒霸有效检出和清理“锁大师”恶意软件,并可以拦截其针对主流浏览器的恶意篡改。

*本文作者:渔村安全

未经允许不得转载:安全路透社 » “锁大师”暗刷流量劫持主页,已影响百万用户

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册