安天发布《浏览器劫持恶意代码分析报告》

时间 ：  2017年05月02日  来源：  安天

近日，安天CERT（安全研究与应急处理中心）在梳理网络安全事件时,注意到一个通过劫持浏览器注入JS脚本投放广告来获利的恶意代码，恶意软件名称为“WebJs”。通常我们在浏览网页的时候，会在浏览器上看到各种广告悬浮，我们认为这些都是由正常网站推送，而殊不知有些悬浮广告是由恶意代码通过劫持浏览器来推送的。该恶意代码通过捆绑在其他第三方应用软件、注册机传播，运行后静默方式运行，劫持用户浏览器，注入恶意的JS脚本代码，来投放相关广告。

该恶意代码使用Visual C++ 6.0编写。样本运行后会验证版本信息，如果不是最新版本会去下载最新的版本，随后样本会判断系统版本，如果系统版本是XP则在注册表中添加自启动，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，如果是xp以上系统则使用Schedule.Service组件,来设置计划任务。样本运行后从资源中释放DLL文件，利用Windows消息挂钩注入DLL到浏览器进程中，并挂钩关键HTTP请求API（Hook浏览器的connect函数），当用户浏览器有HTTP数据请求时，进行劫持HTTP链接，并篡改HTTP响应包，向HTML网页中插入恶意代码来实现投放广告的目的。

安天CERT提醒广大网络使用者，要提高网络安全意识，在日常工作中要及时进行系统更新和漏洞修复，不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠，更加不要随意点击或者复制邮件中的网址，不要轻易下载来源不明的附件，发现网络异常要提高警惕并及时采取应对措施，养成及时更新操作系统和软件应用的好习惯。目前，安天追影产品已经实现了对该类浏览器劫持样本的检出。

报告地址：
https://antiy.pta.center/_lk/details.html?hash=637F7B0883DDA35A8F7B8C0B99904420