安天发布《浏览器劫持恶意代码分析报告》

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时,注意到一个通过劫持浏览器注入JS脚本投放广告来获利的恶意代码,恶意软件名称为“WebJs”。通常我们在浏览网页的时候,会在浏览器上看到各种广告悬浮,我们认为这些都是由正常网站推送,而殊不知有些悬浮广告是由恶意代码通过劫持浏览器来推送的。该恶意代码通过捆绑在其他第三方应用软件、注册机传播,运行后静默方式运行,劫持用户浏览器,注入恶意的JS脚本代码,来投放相关广告。

该恶意代码使用Visual C++ 6.0编写。样本运行后会验证版本信息,如果不是最新版本会去下载最新的版本,随后样本会判断系统版本,如果系统版本是XP则在注册表中添加自启动,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,如果是xp以上系统则使用Schedule.Service组件,来设置计划任务。样本运行后从资源中释放DLL文件,利用Windows消息挂钩注入DLL到浏览器进程中,并挂钩关键HTTP请求API(Hook浏览器的connect函数),当用户浏览器有HTTP数据请求时,进行劫持HTTP链接,并篡改HTTP响应包,向HTML网页中插入恶意代码来实现投放广告的目的。

安天CERT提醒广大网络使用者,要提高网络安全意识,在日常工作中要及时进行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的好习惯。目前,安天追影产品已经实现了对该类浏览器劫持样本的检出。

报告地址:
https://antiy.pta.center/_lk/details.html?hash=637F7B0883DDA35A8F7B8C0B99904420