一、 概述
近日,火绒工程师发现从官网下载的“WIFI共享大师”在没任何提示的情况下强行劫持用户浏览器首页,并推送广告信息,受影响用户高达20W左右。火绒工程师分析认为,该软件疑似与一款名为“巨盾安全”的网游木马专杀软件出自同一制作团队,并通过技术手段躲避大多数安全软件的查杀。建议近期下载使用过该软件的用户尽快使用安全软件查杀。
所有在官网下载使用“WIFI共享大师”的用户都会受影响。“WiFi共享大师”启动后,会劫持用户浏览器首页(劫持浏览器列表如下图)。
“WIFI共享大师”还会躲避安全软件的查杀。该流氓软件启动后会检测用户电脑中是否存在杀毒软件,如果杀毒软件是Windows Defender,该软件会继续劫持用户首页,若是其他杀毒软件则不会劫持。
火绒工程师发现,“WIFI共享大师”与一款名为“巨盾安全”(现已停止运营)的网游木马专杀软件都带有“上海游安网络科技有限公司”数字签名。在“巨盾安全”官网明显位置也有“WIFI共享大师”的下载入口。并且,“WIFI共享大师”第一次更新时间与“巨盾安全软件”官网给出的最后一次更新时间都在2014年9月。我们怀疑该两款软件出自同一制作团队。
“火绒安全软件”最新版即可查杀流氓软件“WIFI共享大师”。
二、 样本分析
近日,火绒接到用户反馈,WIFI共享大师在没任何提示的情况下强行篡改用户首页,且在WiFi共享大师设置菜单中也没有相关劫持功能的设置项。软件设置界面,如下图所示:
如果操作系统是32位那么会由ProLiveCopyTool.exe自己来将injlhep.dll(用于劫持浏览器首页)注入到目标进程。相关代码,如下图所示:
版权属于:dyt5AAUI
本文链接:https://www.whoit.top/archives/123.html
转载时须注明出处及本声明