花瓣壁纸”恶意捆绑频繁作恶,影响用户量高达百万

2017-08-30 来源:渔村安全作者:渔村安全

    近期,金山毒霸安全中心监控到一款名为”花瓣壁纸”的流氓软件开始大规模强制劫持用户浏览器主页,在微博、百度贴吧等渠道也有大量用户反馈”花瓣壁纸”频繁作恶。


    经安全研究人员溯源分析后发现,“花瓣壁纸”可谓前科累累,和之前传播挖矿病毒的“看看影音”都属于同一流氓家族,其数字签名显示为“合肥臻璞网络科技有限公司”。“花瓣壁纸”主要通过知名软件捆绑、下载器、盗版系统预装等形式进行安装传播,预估累计受害电脑已过百万。

1

【1】大量用户反馈“花瓣壁纸”流氓软件作恶



    “花瓣壁纸”堪称一个强大的云控木马,利用其常驻服务模块“ptsupport.dll”接受云端指令,关键的恶意功能模块都通过云端下载,内存解密后注入系统进行工作。通过多层的云端下载和内存解密释放浏览器劫持模块,通过篡改配置文件的方式劫持用户浏览器主页、搜索页、新建标签页等。

2

【2】“花瓣壁纸”通过常驻服务模块执行云端远控指令



3

【3】“花瓣壁纸”恶意模块劫持用户浏览器主页的攻击链


    经金山毒霸安全中心监控发现,近期变种开始加强对抗,利用windows系统服务的DLL劫持漏洞实现自启动。针对不用版本系统释放的劫持模块也不同,XP系统释放的文件为TPGenLic.dll,XP系统版本以上为wlbsctrl.dll,这两个模块利用的是系统服务的DLL劫持漏洞,同时也是权限提升漏洞,可以随系统服务启动被加载运行。

4


【4】“花瓣壁纸”利用系统服务DLL劫持漏洞实现自启动



    目前,金山毒霸安全中心已经针对“花瓣壁纸”家族的流氓软件加强了清除和防御措施,可使用金山毒霸有效检出和清理“花瓣壁纸”恶意软件,并可以拦截其针对主流浏览器的恶意篡改。

QQ图片20170829152104

【5】金山毒霸查杀“花瓣壁纸”恶意软件


QQ图片20170310085531_副本