快科技1月22日消息,今天火绒发布技术分析,称QQ音乐遭遇白加黑”利用,网站被劫持推广传奇私服。
火绒表示,近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象,经溯源分析,确认该进程文件为2021年版本的QQMusic.exe文件。
攻击者利用白加黑”技术加载恶意DLL文件,解压出劫持网页模块,随后安装用于劫持网页的恶意驱动,最终达成将指定网址劫持至私服发布页面的攻击目的。
劫持后网站
此外,该恶意驱动还可检测ARK工具驱动,并对其进行断链以隐藏自身驱动,同时对安全软件的通信进行干扰。
根据火绒的分析,恶意DLL文件执行逻辑可以分为以下三个阶段:
初始阶段:样本首先释放并运行原始文件,即传奇私服程序,随后下载配置文件并检查指定文件和注册表决定进入哪条分支。
下载劫持模块:第一分支和第二分支负责下载劫持模块,尽管第三分支由于无法成功下载文件,所以火绒无法确切判断它是否也会执行下载劫持模块的操作,但在分类上依然将其归到这一阶段当中。
劫持模块:劫持模块中实现劫持操作,将指定网页劫持至传奇私服发布页。
目前,火绒安全产品可对上述病毒进行拦截查杀,感兴趣的可以前往查看完整分析过程。
()
(来源:站长之家)
免责声明:本站文章部分内容为本站原创,另有部分容来源于第三方或整理自互联网,其中转载部分仅供展示,不拥有所有权,不代表本站观点立场,也不构成任何其他建议,对其内容、文字的真实性、完整性、及时性不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容,不承担相关法律责任。如发现本站文章、图片等内容有涉及版权/违法违规或其他不适合的内容, 请及时联系我们进行处理。
宣传片
QQ:
微信:
公安网备案:苏ICP备2022030477号-15苏州钰尚网络文化传媒有限公司