木马杀手

近期，腾讯反病毒实验室发现一款通过浏览器插件作恶的木马程序大量传播，经分析，该木马能够静默安装IE、Chrome两种类型的多款浏览器插件，通过这些恶意插件实现篡改导航网站、搜索引擎的推广ID获利，同时篡改购物网站的商品链接，以返利网站跳转实现推广获利，影响数十万用户。根据其源码注释，我们得知该木马代号——“杀手”。

“杀手”木马的部分注释，本文所有代码相关注释均为木马作者所写

概况

“杀手”木马的功能主要通过浏览器插件实现，安装过程较为复杂，绕过了系统和浏览器的很多安全机制，能够在系统和浏览器默认安全等级下实现静默安装恶意插件。该木马支持X86、X64两种操作系统，支持IE、Chrome以及多种国产改装版浏览器，影响广泛，危害严重。

木马安装流程

“杀手”木马以插件形式工作，但是主要功能是由服务器下发的javascript脚本实现，主要通过两种方式获利：一是篡改导航网站的推广ID获利，二是监控浏览器，当用户访问购物网站时，将商品链接篡改为返利链接从而获取返利。

木马功能示意图

详细分析

1、自解压

“杀手”木马通过多种渠道推广，其安装包是一个7z自解压程序，其解压脚本如下，将文件静默释放到指定目录后执行指定文件。

自解压脚本

以下是“杀手”木马自解压包中的文件结构，其中1.0.0目录中存放的是各种基于Chrome内核的浏览器插件，目录compose中存放是IE浏览器BHO插件及安装程序，三个exe程序功能依次是安装程序、32位系统过UAC程序、64位系统过UAC程序。

安装包内容

2、过UAC

安装程序运行后会检测系统版本以及UAC级别，尝试绕过UAC将自身提升为管理员权限，以便后续插件的安装，“杀手”木马过UAC的步骤如下：

“杀手”木马过UAC流程

过UAC相关代码

3、插件安装

3.1 Chrome类浏览器插件安装

“杀手”木马并没有使用传统的.crx文件来安装浏览器插件，而是直接通过修改Secure Preference配置文件来实现绕过浏览器安装提示，包括xxx安全浏览器、2xxx浏览器、Coolnovo浏览器都是使用此方法静默安装插件。

Chrome浏览器插件静默安装相关代码

该插件伪装成二维码小秘，其实并无二维码相关功能。各种浏览器安装完插件后效果如下，用户可自行检查自己是否中招。

在Chrome浏览器中插件展示形式

在某安全浏览器中插件展示形式

在某浏览器中插件展示形式

3.2 IE浏览器插件安装

IE浏览器的插件安装方式就是将恶意dll注册成BHO，与传统恶意插件无区别。

在IE浏览器插件安装相关代码

在IE浏览器中插件展示形式

4、插件功能：

Chrome类插件的功能都是通过javascript脚本实现的，主要功能代码通过background.js下载执行，background.js是Chrome插件的后台页面，打开浏览器就会率先执行该脚本。

4.1导航推广ID劫持

从hxxps://new.hai33.com/hao.gif获取代码，到本地解压执行

下载执行脚本相关代码

下载的代码经过编码混淆，去混淆后发现该脚本主要用于监控浏览器对导航网站的访问，发现用户访问网址导航页面，且带有推广ID的话，直接篡改推广ID。国内多个知名网址导航网站名列其中。

混淆的代码

去混淆后的篡改导航推广id相关代码

去混淆后的篡改导航推广ID相关代码

4.2购物网站返利跳转

监控浏览器，打开任何网站时产检均会访问hxxp://new.hai33.com/s，并提交相关参数，服务器会检测http请求参数中的Refer参数，即当前打开的页面，如果发现是购物类相关网站，则服务器会反馈恶意劫持脚本。劫持脚本的功能是替换目标页面中制定的商品链接，将其替换为跳转链接，跳转到返利网站，返利网站会将返利相关的参数写入到cookies中，随后跳转到商品页面，此后用户在cookies有效期内下单，木马作者都能够得到返利。为了实现隐蔽性，在替换链接前会先检测指定cookies是否有效，如果有效，则不会进行链接替换。因此十分隐蔽，恶意行为难以被发现。

下载执行脚本相关代码

C&C通过Referer确定是否返回恶意js

针对某电商网站的恶意js

最终通过linktech.cn购物推广联盟网站进行返利跳转

部分会被劫持的电商网站列表

IE浏览器插件：IE浏览器插件实现的功能类似，也是通过下载javascript代码插入到浏览器中执行来实现的，在此不再重复描述。

下载恶意js相关代码

向页面中插入恶意js相关代码

后记

由于安全软件对浏览器做了较多的安全保护，传统通过外部程序控制浏览器的行为越来越难以绕过安全软件的查杀和拦截，因此木马演化成了浏览器插件直接在内部实现对浏览器的各种操作。通过脚本实现的Chrome类浏览器插件也增加了安全软件检测查杀的难度。杀手木马虽然看似对用户危害不大，然而黑客可以通过改变C&C上的恶意脚本来实现各种恶意行为，如获取浏览器输入的各种帐号密码，上传浏览记录等，危害十分严重。这一点我们看下该插件的权限就知道了，以后这类恶意程序可能会越来越多，目前电脑管家已率先查杀该木马。

插件权限，能够获取浏览器相关的一切信息

*投稿：腾讯电脑管家（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）