知名软件火萤视频桌面的骚操作:篡改浏览器首页
日前,有用户反馈称火萤视频桌面软件携带的恶意组件存在篡改浏览器等行为,经火绒评估或已影响超数百万终端。
经火绒工程师溯源分析,无论是在官网还是经第三方下载站等渠道安装该软件,其安装包文件数字签名信息均相同。
该软件的恶意行为分析:用户下载安装后,该软件会启动屏保功能出现屏保遮罩,并在遮罩后劫持用户浏览器首页。
当用户执行火萤视频桌面卸载程序时,卸载程序会立即向远控服务器发出请求,根据回文判断是否删除winhost.exe。
如果远控服务器回传的报文要求保留winhost.exe文件,那么恶意软件便会在注册表中将winhost.exe设置为自启动项。
这时,该软件看似被成功卸载,但其携带的恶意软件已经被静默激活注入注册表,进而驻留在用户电脑上继续作恶。
经火绒安全人员分析,winhost.exe运行后,向远程控制服务器发送请求配置json字段的含义主要可以分为三种类型:
其json字段为:bu的含义是选择浏览器类型,rs则是设置首页方式(模拟点击或修改配置文件),而hp中则是首页链接。
配置获取成功后,根据bu的值选择浏览器填充相关信息(运行后解密),如:浏览器可执行文件路径,配置文件路径等。
如果rs的值等于1时,则先启动屏保遮来挡用户电脑屏幕,然后再使用模拟快捷键的方式,操控浏览器直接设置首页;
如果rs的值等于2,则直接检索浏览器配置文件的位置,然后找寻浏览器配置关键字位置,再篡改配置文件设置首页;
如果rs的值不等于2,则启动浏览器进程依次发送CTRL-T,CTRL-L,CTRL-V,回车按键进入浏览器主页的设置页面,
然后检测打开的窗口名是否为“设置”,接下来再根据“选项”等关键字判断此时进入的页面是否为浏览器主页设置页面,
接下来,程序会从浏览器中操作对象偏移为0xdc的字段获取链接地址数据,并设置剪贴板数据为json的hp字段内容,
接下来模拟快捷键操作,依次发送按键CTRL-A,CTRL-V按键,通过一系列操作,用户浏览器首页便会被成功篡改。
此外,火萤视频桌面的主程序中的设置屏保功能使用的火萤屏保.scr文件,含有与winhost.exe相同功能的恶意代码。
据悉,受该软件影响的浏览器包括搜狗浏览器、2345浏览器、QQ浏览器、360浏览器等四个国内常见的桌面浏览器。
笔者颇为好奇的是,以往都是某全家桶疯狂的劫持别人,怎么今儿被人劫持了?难道是善恶到头终有报?苦了用户!
火绒工程师建议用户在安装软件前务必使用安全软件进行查杀,同时避免在三方渠道下载软件以免遭遇捆绑和推广。
火绒工程师建议用户可以开启火绒【程序执行控制】—【下载站下载器】功能,规避因下载器带来的软件安全风险。
但笔者在找寻这一功能时费了不少周章,最后却发现火绒的【程序执行控制】功能居然在【首页】—【访问控制】。
笔者在分析该软件时专门收集了火萤视频桌面软件5.2.3.7、5.2.2.6和5.2.2.2多个版本,其中5.2.2.2下载后便被报毒。
其实,很多国内软件都存在篡改浏览器首页的行为,包括国内一些安全软件也会打着保护用户安全的旗号公然篡改。
捆绑安装、流氓推广、篡改首页、劫持浏览器、恶意收集用户隐私,类似恶意行为在国内市场可谓你方唱罢我登场。
屡禁不绝的违法行为皆为利益驱动,违法成本属实低的可怕,不明所以的用户如砧板上的鱼肉任人宰割、无可奈何。