主页被改 下载游戏导致浏览器主页被强行篡改，玩家缘何“痛心疾首”？

随着近年来电子竞技游戏的流行，越来越多的用户习惯于把业余时间交给这些“氪星杀手”。很多玩家渴望早期采用者，所以经常在不同的下载渠道下载安装游戏，但是在下载游戏的过程中并没有注意到安全隐患。如果你经历过一次中毒的经历，相信每一分钟都会让你在以后的游戏生涯中闻到“毒”的味道。

自称老将的小王今年15岁。因为他热爱电脑游戏，所以每个周末都会在繁忙的游戏时间挤出很少的时间学习，所以小王的游戏时间经常由父母照顾。但是因为和父母打了很多年仗，他已经知道偷偷玩游戏后如何快速关机，帮助电脑屏幕快速降温。最近一款长期被广为流传的游戏《怪物猎人:世界》，点燃了他的体验欲。但在点击安装程序后，他发现自己的浏览器主页、默认搜索页面、浏览器收藏夹等信息被恶意篡改。

那么问题来了，小王玩游戏的行为会被父母发现吗？很明显，答案是肯定的——毕竟如果你找不到浏览器主页被修改过，那就只有可能是他父亲一直没打开过浏览器。

各种各样的游戏已经成为劫持木马的藏身之处

电脑浏览器已经成为受打击最严重的领域

其实小王的经历也不是个案，源于最近流行的一种木马劫持病毒。经过360安全脑监控追踪，发现木马传播者重新包装了《远哭5》、《怪物猎人:世界》、《需要速度20》、《魔鬼可能哭5》、《边缘世界》等著名游戏。，并添加了木马程序，然后通过Tiger Game Network(hxxp://DJ . Dian jiHu . com)传播。经过深入分析，发现该木马具有劫持浏览器主页和默认搜索页面、获取浏览器历史、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等多种恶意行为。其主要执行流程如下:

首先在游戏安装完毕，用户点击桌面游戏快捷方式开始游戏后，会先请求hxxp://down.qm188 [。] com/yhlock.7z获取一个AES加密的压缩包文件yhlock.7z。压缩后的包被AES解密后，解压释放demo.dll并加载其导出函数plugin_lock。相关代码如下图所示:

然后，调试并解密yhlock.7z成PE文件后:

文件加载到内存后，会继续从down . QM 188[]下载一个AES加密的压缩包。解密解压后会包含一个Lock.dll并加载执行(PDB信息:D:浏览器相关的LockreleaseLock.pdb)。调试并将check.7z解密到PE文件中:

偷偷远离软杀监控，发动魔术

山东、福建、四川的网友纷纷抱怨

值得一提的是，这个DLL文件封装了市面上超过15种主流浏览器的劫持修改功能:

而demo.dll主要实施:

1.篡改浏览器收藏夹，默默替换收藏夹项目链接；

2.篡改浏览器Cookie

3.安装浏览器扩展(带劫持功能)；

4.获取浏览器历史浏览记录

5.锁定浏览器主页，包括:

www.hao123.com/? TN = 98625814 _郝_pg

daohang.qq.com.cn0d.qq.1230578.com/%d.html

123.sogou.com.cnsg.123.1234034.com/%d.html

www.2345.com.cn.2345.hao3603.com/%d.html

判断杀软件，修改IE浏览器首页相关代码

篡改浏览器中的cookie

将使用host _ key hao123.com修改cookie部分代码

此外，锁定的导航链接不是固定的。而是通过生成随机数来拼接随机导航链接地址，通过随机数控制一定概率来选择锁定为主机和不同二级域名的链接。这可能是为了避免某些软件查杀和浏览器监控被篡改为同一个链接。相关代码如下图所示:

但受此木马影响的主要用户的地域分布似乎与其他木马不一致，山东、福建、四川的网民成为主要受害者。

从劫持木马的传播案例中不难看出，随着网络空形势的日益严峻，计算机病毒的传播形式也越来越多样化，时刻威胁着个人、企业乃至国家的安全。因此，我们特别提醒用户采取以下防御措施:

1.尽快去weishi.360.cn，下载安装360安全卫士，有效拦截各类病毒木马病毒攻击，保护计算机隐私和财产安全；

2.下载游戏时，尽量使用正规的下载渠道；

3.不要轻易添加信任或退出杀毒程序。

石英砂负载氧化铁

SHA256:

58585 CCE 567 DD 95 e 1308 c 6b 1 D6 af 902 dcbf 99d 9 b 9826151588906 FCCC 69 F2 a 1d

abf 1790d 6519 FD 9637 C3 ab 82 f 22 f 545 f 05 e 35 bfb 66 e 37 d6a 1190356 b 83 a 74 c 0f

9 DAE 81 e 29 b 91d 7363369094 b 948 c 0f 217 B1 a 325d 74 B3 ca 4e 04 e 348 ee 7506 F9 f 9

统一资源定位器

down.qm188[。]com/check.7z

down.qm188[。]com/yhlock.7z

www.2345[。]com/？32772-0009

www.hao123[。]com/？tn=98625814_hao_pg

Dao hang . QQ . com . cn0d . QQ . 1230578[。]com/%d.html

123 .搜狗. com.cnsg.123.1234034[。]com/%d.html

www.2345.com.cn.2345.hao3603[。]com/%d.html

hao.360.cn.com.360.1230578[。]com/%d.html

hao.360.cn.com.360.hao3603[。]com/%d.html

BZ . dash 88[。]com/？柱状上皮交界

yx.hao3603[。]com

bd.hao3603[。]com

tm.hao3603[。]com

CRX身份证

MHCAKMPDOIKFILADGIFT KLGMNNIOHN温和新标签