近期，火絨威脅情報系統(tǒng)監(jiān)測到，有黑客團伙偽造了帶毒的Chrome瀏覽器，上傳至“軟件盒子”、“海量軟件管家”等軟件進行大量傳播。病毒運行后會執(zhí)行篡改瀏覽器啟動頁、新標簽頁等惡意行為。

用戶運行上述盜版 Chrome 瀏覽器安裝包之后，被黑客篡改過 chrome.dll 文件會立即請求服務器配置，隨后黑客便可執(zhí)行篡改瀏覽器啟動頁，新標簽頁，以及URL重定向，隱藏URL等惡意行為，該病毒的執(zhí)行流程圖如下：

在此，火絨工程師建議廣大用戶在下載軟件時，盡量選擇官方或正規(guī)可信的應用商店，并安裝可靠的安全軟件以保護設備免受惡意軟件和病毒的侵害。目前，火絨安全產(chǎn)品可對上述病毒進行攔截查殺，請用戶及時更新病毒庫以進行防御。

一、樣本分析

被篡改的文件主要為chrome.dll，當Chrome瀏覽器啟動后，chrome.dll會被加載，首先會解密出C&C服務器地址，并從C&C服務器獲取配置文件地址，相關代碼，如下圖所示：

獲取配置文件并解析配置信息，相關代碼，如下圖所示：

解密后的配置信息，一些重要的字段，如下圖所示：

重要字段說明，如下圖所示：

接收到配置信息后，根據(jù)配置信息來執(zhí)行一些惡意行為有：修改啟動頁、新標簽頁、URL重定向、隱藏URL，下面進行詳細說明。

URL重定向功能，根據(jù)服務器下發(fā)的正則表達式，將匹配上的URL重定向到指定網(wǎng)址進行推廣，如訪問baidu.com會被重定位到https://www.baidu.com/?tn=02003390_39_hao_pg，關鍵代碼，如下圖所示：

隱藏URL功能，如果瀏覽器地址欄包含推廣號相關的字符串就不顯示URL，來降低被發(fā)現(xiàn)的概率，如訪問baidu.com被重定向到https://www.baidu.com/?tn=02003390_39_hao_pg后，瀏覽器地址欄顯示為空，如下圖所示：

關鍵代碼，如下圖所示：

根據(jù)配置信息修改瀏覽器啟動頁，關鍵代碼，如下圖所示：

二、附錄

C&C服務器

HASH