鑫哥木馬劫持超60家網吧及9所大學的電腦

前言

近期360互聯網安全中心監測到一款網絡劫持木馬在眾多網吧及大學的機房中大範圍傳播。該木馬在2018年9月開始在國內傳播，會利用篡改網絡設置、劫持客戶端網絡數據、監控QQ聊天等方式竊取用戶的隱私。

通過進一步追溯分析發現：在被攻擊的網吧或學校機房環境中，均使用的一款名為「銳起無盤系統（去廣告版本）」的軟件。而正是該軟件被利用，向用戶電腦中植入帶有劫持功能的「鑫哥木馬」。根據我們掌握的數據統計，至少有60家網吧及9所大學受到影響，被劫持的網站列表超過9000個，同時還會獲取用戶QQ號及聊天記錄文件等信息。木馬最終通過劫持網站、跳轉導航、遊戲退彈等方式來牟取暴利。

木馬分析

通過這個去廣告版的無盤系統，會下發一個名為AD_xxxxxx_UID.exe的木馬：

木馬文件信息

木馬通過篡改DNS及Hosts的形式實現網絡劫持，其運行關係如下：

執行流程簡圖

遊戲菜單界面圖

安裝過程

「銳起」服務端程序釋放相關文件後，則會更新到客戶機的客戶端程序中執行，導致整個無盤網絡系統的機器全部中招，客戶端的遊戲菜單程序啟動後會讀取MenuScreenConfig.xml文件中配置的Autorun啟動項自動執行，啟動順序如下：TopTen\menu.datà RichtechGameTool.exeàProgramlog.exeàAD_xxxxxx_UID.exe，最終執行木馬程序。

配置文件中的AutoRun項

為了達到掩人耳目的目的，木馬程序還將自身複製到騰訊TGP、Adobe等常見遊戲軟件的目錄下執行：

複製木馬程序到Adobe、TGP目錄代碼片斷

劫持網站

最終執行的木馬會根據云端數據在本地生成一個腳本「Tencent.vbs」，運行該腳本後，會通過篡改DNS及Hosts文件來實現劫持。同時，木馬還會回傳用戶信息至雲端服務器數據庫，回傳的信息包括：機器名、MAC地址、內網IP、外網IP等。

木馬從雲端數據庫中獲取要劫持的內容

劫持後的落地頁面，則會根據對應的UID來請求服務端數據庫中對應的展示內容。如果該步驟的獲取出錯，則跳轉到帶有渠道號（k1828680）的2345導航頁面。其所展示的頁面中，甚至會用代碼在瀏覽器控制台中打出「人工智能是其發展的核心技術」之類的字樣：

瀏覽器控制台中顯示的文字：

網頁代碼中的控制台輸出代碼

記錄QQ信息

木馬還會記錄機器上登錄QQ的信息，具體信息包括：IP地址、機器名、登錄時間、下線時間、QQ號、QQ聊天記錄文件、記錄時間等。

木馬記錄QQ信息

木馬後台數據

根據我們獲取到的其後台統計數據，可以看到累計有7.5萬台電腦被劫持，這些電腦上報了數據約220萬條（截止2019年1月16日）：

回傳信息數據庫

部分受影響網吧及學校信息

通過對數據庫中的IP進行的統計，發現其中廣東的IP佔比高達45.02%，其後則是湖南6.78%、吉林4.98%、河南4.8%、廣西4.52%。具體分佈情況如下圖所示：

感染設備所在地區分佈圖

溯源信息

根據對數據庫中信息的分析，我們發現該木馬團伙使用了一種多級代理模式在擴散木馬，而存放劫持頁面的域名，均以「鎮江**網絡科技有限公司」的名義進行了備案：

數據庫中的代理人信息

存放劫持頁面的域名備案信息

根據公開信息，我們可以查詢到該公司主要人員及企業結構圖：

鎮江**網絡科技有限公司的企業結構和主要負責人

總結

目前監測到該木馬主要植入了用於劫持網站和監控QQ通訊的木馬，後續攻擊者可能會下發更多惡意程序：如盜號木馬、勒索病毒、挖礦程序等進行獲利。這類無盤系統一般包含多台計算機，一旦主機中招，整個網絡都會受到影響。

360互聯網安全中心提醒：

1.在網吧等公共環境上網，應該格外注意，盡量選擇掃描二維碼登錄避免輸入口令。

2.盡量避免在這類公共環境使用網銀、操作涉及個人敏感信息的數據等。

3.網絡管理人員可以通過檢查DNS和HOST查看機器是否出現被篡改的情況，也可通過安裝360安全衛士查殺此類木馬。

MD5：

b41b87a494dcace1e80d2bb799e27779

ad911af95d591edbff0ffe95b2c9d2b5

9166dc84fb69f1d628e7ec8dbe1dd905

8cbe3c789dde4016fb23c7df3a8d33a0

Hosts/IP劫持列表：

http://www.ntxxz[.]cn/public/conf/dns_chuanqi.hosts

DNS：

47.97.123[.]210

*本文作者：360安全衛士，轉載請註明來自FreeBuf.COM