• :
  • “花瓣壁纸”恶意捆绑频繁作恶,影响用户量高达百万-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] “花瓣壁纸”恶意捆绑频繁作恶,影响用户量高达百万

    [复制链接]

    该用户从未签到

    发表于 2017-8-29 17:09:19 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
        近期,金山毒霸安全中心监控到一款名为”花瓣壁纸”的流氓软件开始大规模强制劫持用户浏览器主页,在微博、百度贴吧等渠道也有大量用户反馈”花瓣壁纸”频繁作恶。

        经安全研究人员溯源分析后发现,“花瓣壁纸”可谓前科累累,和之前传播挖矿病毒的“看看影音”都属于同一流氓家族,其数字签名显示为“合肥臻璞网络科技有限公司”。“花瓣壁纸”主要通过知名软件捆绑、下载器、盗版系统预装等形式进行安装传播,预估累计受害电脑已过百万。
    1.png
    【1】大量用户反馈“花瓣壁纸”流氓软件作恶


        “花瓣壁纸”堪称一个强大的云控木马,利用其常驻服务模块“ptsupport.dll”接受云端指令,关键的恶意功能模块都通过云端下载,内存解密后注入系统进行工作。通过多层的云端下载和内存解密释放浏览器劫持模块,通过篡改配置文件的方式劫持用户浏览器主页、搜索页、新建标签页等。
    2.png
    【2】“花瓣壁纸”通过常驻服务模块执行云端远控指令


    3.png
    【3】“花瓣壁纸”恶意模块劫持用户浏览器主页的攻击链


        经金山毒霸安全中心监控发现,近期变种开始加强对抗,利用windows系统服务的DLL劫持漏洞实现自启动。针对不用版本系统释放的劫持模块也不同,XP系统释放的文件为TPGenLic.dll,XP系统版本以上为wlbsctrl.dll,这两个模块利用的是系统服务的DLL劫持漏洞,同时也是权限提升漏洞,可以随系统服务启动被加载运行。
    4.png
    【4】“花瓣壁纸”利用系统服务DLL劫持漏洞实现自启动


        目前,金山毒霸安全中心已经针对“花瓣壁纸”家族的流氓软件加强了清除和防御措施,可使用金山毒霸有效检出和清理“花瓣壁纸”恶意软件,并可以拦截其针对主流浏览器的恶意篡改。
    QQ图片20170829152104.jpg
    【5】金山毒霸查杀“花瓣壁纸”恶意软件


    QQ图片20170310085531_副本.jpg


    使用道具 举报 回复
    经安全研究人员溯源分析后发现,“花瓣壁纸”可谓前科累累,和之前传播挖矿病毒的“看看影音”都属于同一流氓家族,其数字签名显示为“合肥臻璞网络科技有限公司”。“花瓣壁纸”主要通过知名软件捆绑、下载器、盗版系统预装等形式进行安装传播,预估累计受害电脑已过百万。
    使用道具 举报 回复 支持 反对
    了解一下!
    使用道具 举报 回复
    “花瓣壁纸”堪称一个强大的云控木马,利用其常驻服务模块“ptsupport.dll”接受云端指令,关键的恶意功能模块都通过云端下载,内存解密后注入系统进行工作。通过多层的云端下载和内存解密释放浏览器劫持模块,通过篡改配置文件的方式劫持用户浏览器主页、搜索页、新建标签页等。
    使用道具 举报 回复 支持 反对
    干得漂亮,支持毒霸!
    使用道具 举报 回复 支持 反对
       不要去不明的网站去下载是首要的。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则