24287ff12784abc79dffbd1a7041059e.png
重生信息安全

从互联网诞生至今,无论是技术党,还是普通网民,相信每一个人都曾经或正在被一个问题所困扰:

为什么我的浏览器主页总是莫名其妙变成了XXXX网站?

在网上,诸如“浏览器主页被XX网址大全篡改无法修改怎么办?”的求助帖也层出不穷,包括专业IT技术社区CSDN网站。

923c5207349bcac2c5d69e1d3407caad.png

扩展迷也经常在后台收到各种用户咨询:

为什么我明明已经安装了infinity新标签页插件,但是打开浏览器主页还是XXXX导航网址?

更令人头疼的是,这种时候,即使你想手动修改回原来的浏览器主页,都可能无能为力。

e83a7fde225d63dfda664e0bf37c3505.png

这种情况,我们统称为浏览器主页劫持。

它指的是用户设置的主页网址,在自己不知情的情况下被强行篡改为其他网址。当用户打开浏览器后,显示的页面变成劫持者设置的页面。

大部分情况下,用户都是在下载安装了一些流氓软件、破解软件后,才会出现主页被劫持锁定的情况。

dc4f871be18d69e68229b01ed547d09f.png

浏览器主页劫持现象由来已久,劫持手段也在日益更新,令人无可奈何。

去年,人民日报发长文痛批浏览器主页被劫持的问题,点名2345、360、金山等公司,引起了社会的强烈反响。

要知道,篡改用户浏览器主页背后涉及的利益是非常“可观”的。

be32ca8c831305a3af2bc28d52804b2d.png

业内专家介绍,一般的导航页里面会有将近1000个位置,每个位置实际上都是一个流量入口,而入口实际上是带着付费链接的。

鉴于我国庞大的用户基数,这个市场的规模可以说是相当恐怖。

所以,除了上述那些只是稍微“流氓”了点的正规软件以外,黑产灰产也自然盯上了这块肥肉。

5fe4de6f519c4834d62c0f8bd0d5fdb7.png

今年1月,扩展迷曾发布了一篇文章,文中引用了国家计算机病毒应急处理中心的一则公告。

公告称,通过对互联网的监测,发现一款名为暴风激活工具的软件携带恶性病毒会劫持用户浏览器主页。

由于该木马运行之后会将病毒文件释放到Mlxg_km目录下面,故根据其大写字母命名为「麻辣香锅」病毒。

f74575d10de3c5d1a810ef7454e50a5e.png

「麻辣香锅」病毒最主要的目的,就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病毒篡改并进行锁定。

谷歌Chrome、火狐Firefox、IE浏览器、淘宝浏览器、百度浏览器、搜狗浏览器、QQ浏览器和UC浏览器等等,都是它的劫持对象。

浏览器主页被劫持后会被强制锁定,因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改。

4bb2c4e5cdc4dc326c702e992812972a.png

除了暴风激活工具以外,「麻辣香锅」主要还通过其他各类激活工具和破解软件进行传播。

它还会拒绝病毒进程之外的所有请求,以保护病毒文件,并且会注册一个名为Windows Mobile UserExperience Server伪装成系统服务。

也正因为此,许多非专业用户都可能会把它当做系统进程而不予理会。

3732b38e4b55dc09a1ea907e8d77fab5.png

「麻辣香锅」的盈利模式也很简单:强制锁定用户主页为导航网站导流,然后病毒作者就可以获得导航网站的流量分成了。

上一次爆发后,近期,又有大量用户在火绒论坛反馈浏览器首页遭遇劫持。

火绒工程师溯源发现,上述用户均是在某激活工具官网下载安装了暴风激活、KMS、小马激活等激活工具导致首页被劫持。

经查,这些激活工具均携带了「麻辣香锅」的锁首病毒,病毒感染用户电脑后会将首页劫持为“http://**?.****111.top”(“?”为任意数字,如下图)。

484bb34cda7d0849ab5f8c3e7d2e681b.png

据统计,目前受该病毒影响的浏览器,如下图所示:

905245fb57ea6238c031742e14ff9b49.png

更有意思的是,该病毒为了能够稳定地 “霸占”用户电脑,还会收集用户本地的蓝屏dmp文件,从而发现病毒驱动潜在的蓝屏问题。

当然,这并不是「麻辣香锅」大发好心为了帮用户解决电脑系统问题。

按猜测,大概是病毒开发者想从日志中分析该病毒与电脑系统bug的兼容性,以便于更好地“割韭菜”罢了。

毕竟你的电脑一旦死机蓝屏了,它也没钱赚了......

49fc7663773ffedf6c624dd387aab016.png

需要注意的是,这一次的爆发事件中,病毒软件下载页面上的文字会恶意诱导用户“请务必先退出360、腾讯管家、Win10防护等杀毒软件,再去下载激活”,通过此方式躲避安全软件查杀。

被植入病毒的激活工具下载页面,如下图所示:

8656b97d7da1071a251a8d1e373d0f7b.png

此外,「麻辣香锅」的驱动保护模块也被用来对抗杀软的查杀,它会阻止360和腾讯电脑管家云查杀模块的加载。

因此,请大家看到类似要求关闭杀毒软件再下载的工具,一定要谨慎对待。

2700b38050c9e5efce07eac8726b9936.png

而且,相比年初时的路数,此次爆发的「麻辣香锅」病毒似乎与垃圾系统下载站达成合作,在这些下载站推广带毒的工具和系统。

部分集成病毒的垃圾系统下载站甚至还在某些搜索引擎上付费推广,用户搜索系统名称时就会被引导到垃圾站上。

这也就导致上述激活工具使用者较多,病毒影响范围有了扩散趋势。

注:小马激活早在Windows 7时代就已停止更新 , 现在网上所有声称能激活Windows 10的小马都是带毒山寨版。

3c28e89d3d88dc07681ccf2629a202fd.png

不过大家也无须过于担心,火绒安全软件最新版可拦截该病毒,而感染该病毒的用户,可以使用火绒专杀工具清除病毒。

9547799e4164b5ec071bf97be6890991.png

最后,扩展迷再次提醒大家,「麻辣香锅」这一类病毒实际上并不可怕,因为它不能躲避多数主流安全软件的查杀。

对于来历不明的软件,一定不要听信它们的“鬼话”,千万不要退出杀软,谨慎对待。

Logo
开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐

“小满”安全车控操作系统正式在AtomGit开源

10月24日,由中国汽车工业协会指导,普华基础软件股份有限公司主办的“小满”安全车控操作系统开源发布会暨共建计划说明会成功举行。普华基础软件宣布将安全车控操作系统“小满”(简称“小满”)V24.10源代码正式在开放原子开源基金会(简称“基金会”)旗下AtomGit开源协作平台开源,并在AtomGit平

avatar 开放原子开发者工作坊

开放原子大赛——CIKM 2024赛果揭晓,10强争霸,角逐第33届国际信息与知识管理大会

开放原子大赛——CIKM 2024赛果揭晓,10强争霸,角逐第33届国际信息与知识管理大会

avatar 开放原子开发者工作坊

50万奖金池!开放原子大赛——第二届OpenHarmony创新应用挑战赛正式启动

50万奖金池!开放原子大赛——第二届OpenHarmony创新应用挑战赛正式启动

avatar 开放原子开发者工作坊