吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 41301|回复: 156
收起左侧

[PC样本分析] “WIFI共享大师”劫持首页推广告 受影响用户高达20万

    [复制链接]
火绒安全实验室 发表于 2019-3-14 21:15
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-3-14 21:45 编辑

一、        概述
近日,火绒工程师发现从官网下载的“WIFI共享大师”在没任何提示的情况下强行劫持用户浏览器首页,并推送广告信息,受影响用户高达20W左右。火绒工程师分析认为,该软件疑似与一款名为“巨盾安全”的网游木马专杀软件出自同一制作团队,并通过技术手段躲避大多数安全软件的查杀。建议近期下载使用过该软件的用户尽快使用安全软件查杀。
所有在官网下载使用“WIFI共享大师”的用户都会受影响。“WiFi共享大师”启动后,会劫持用户浏览器首页(劫持浏览器列表如下图)。
“WIFI共享大师”还会躲避安全软件的查杀。该流氓软件启动后会检测用户电脑中是否存在杀毒软件,如果杀毒软件是Windows Defender,该软件会继续劫持用户首页,若是其他杀毒软件则不会劫持。
火绒工程师发现,“WIFI共享大师”与一款名为“巨盾安全”(现已停止运营)的网游木马专杀软件都带有“上海游安网络科技有限公司”数字签名。在“巨盾安全”官网明显位置也有“WIFI共享大师”的下载入口。并且,“WIFI共享大师”第一次更新时间与“巨盾安全软件”官网给出的最后一次更新时间都在2014年9月。我们怀疑该两款软件出自同一制作团队。
“火绒安全软件”最新版即可查杀流氓软件“WIFI共享大师”。

二、        样本分析
近日,火绒接到用户反馈,WIFI共享大师在没任何提示的情况下强行篡改用户首页,且在WiFi共享大师设置菜单中也没有相关劫持功能的设置项。软件设置界面,如下图所示:
WIFI共享大师设置页面

WiFiUpdate.exe模块
首先WiFi共享大师启动后会启动WiFiUpdate.exe,用于从远程更新服务器(hxxp://wifiup.ggsafe.com)上获取更新配置信息,获取的更新文件中包含有ProLiveTool.exe 和CommonWindow.dll、PinDuoDuo.exe,其中CommonWindow.dll是用于加载首页锁定模块和弹窗推广的主要功能模块,会在后文叙述。从服务端获取的配置信息,如下图所示:
配置信息

CommonWindow.dll模块
该模块被WiFiMaster.exe模块加载并执行,功能主要为启动广告模块(PinDuoDuo.exe)和劫持模块(ProLiveCopyTool.exe),关于劫持首页部分下文会详细叙述。推广页面,如下图所示:
推广页面
CommonWindow.dll文件带有“上海游安网络科技有限公司”有效数字签名信息,如下图所示:
CommonWindow.dll签名详情

ProLiveCopyTool.exe模块
该模块主要有俩部分功能,分别是:释放用做劫持的injlhep.dll模块,和卸载injlhep.dll模块。首先该模块通过WMI查询(SELECT * FROM AntiVirusProduct)是否存在杀毒软件,用以躲避除Windows Defender以外大部分安全软件,并且遍历注册表Uninstall项下是否有已知的杀软名称(360安全卫士,360杀毒,腾讯电脑管家),如果不存在,随后通过修改IE注册表配置的方式劫持首页(hxxp://www.hao123.com/?tn=45082485_hao_pg),之后会释放injlhep.dll(用于劫持浏览器首页),并注入Explorer.exe进程中来劫持其他浏览器首页。相关代码,如下图所示:
检查环境
该模块会通过三种方式来将injlhep.dll注入到Explorer.exe进程,以下分别叙述。

如果操作系统是32位那么会由ProLiveCopyTool.exe自己来将injlhep.dll(用于劫持浏览器首页)注入到目标进程。相关代码,如下图所示:
注入到目标进程
如果当前是非Windows 10且是64位操作系统,或者是Windows 10操作系统,并且版本小于10586,那么首先会释放injlhep.dll(用于劫持浏览器首页),然后调用WiFiMaster64.exe 并且传递命令行参数来完成注入。命令行参数及注入部分代码,如下图所示:
命令参数
注入部分代码
第三种情况是,当前操作系统必须是Windows10  X64并且 操作系统版本大于等于10586,那么会释放test.exe(用于加载tmplod.dll)、tmplod.dll(注册全局钩子用于加载injlhep.dll),injlhep.dll(用于劫持浏览器首页),释放完成后首先启动test.exe,然后test.exe启动后会加载再tmplod.dll,之后调用tmplod.dll的导出函数Start,该函数会注册全局钩子,当Explorer.exe加载tmplod.dll后,会将injlhep.dll加载到Explorer.exe进程空间中,达到劫持浏览器首页的目的,injlhep.dll会在后文分析。test.exe(用于加载tmplod.dll),如下图所示:
加载tmplod.
tmplod.dll(注册全局钩子用于加载injlhep.dll)相关代码,如下图所示:
加载全局钩子
加载用于劫持的动态库相关代码,如下图所示:
加载用于劫持的动态库

injlhep.dll模块
该模块被注入到Explorer.exe 进程后,首先会创建互斥体({92D2W725-F3V2-489E-8DF3-OP8678D9A871}_CheckIsStart),然后HOOK CreateProcessW 用作劫持浏览器首页(被更改的首页地址为:hxxps://www.hao123.com/?tn=45082485_hao_pg)。劫持部分代码,如下图所示:
劫持浏览器首页
浏览器列表

溯源分析
通过查询域名,我们得知WIFI共享大师的官网(hxxp://wifi.ggsafe.com)和巨盾网游安全软件(hxxp://www.ggsafe.com)的一级域名相同。且根据文件签名信息和网站版权信息,我们定位到两家公司(上海游安网络科技有限公司 和 上海巨人统平网络科技有限公司)与这两款软件可能存在直接关系。
WiFi共享大师主程序带有“上海游安网络科技有限公司”有效数字签名,如下图所示:
WiFi共享大师主程序文件数字签名信息
巨盾网游安全盾主程序也带有“ShangHai YouAn Network Technology Co., Ltd.”数字签名,但该签名已被吊销。数字签名信息,如下图所示:
巨盾网游安全盾主程序数字签名信息
上海游安网络科技有限公司相关企业信息,如下图所示:
上海游安网络科技有限公司企业信息
该公司注册的软件版权信息,如下图所示:
上海游安网络科技有限公司相关软件版权信息
巨盾网游安全软件官网给出的最后一次更新时间为:2014年9月,与WIFI共享大师官网给出的第一次更新日志(hxxp://wifi.ggsafe.com/log.shtml)时间极为相近。所以据此,我们初步怀疑巨盾网游安全软件与WIFI共享大师软件为同一个软件团队开发。WIFI共享大师更新日志,如下图所示:
WIFI共享大师更新日志
巨盾网游安全软件官网中显示的巨盾网游安全软件最后更新时间为2014年9月,并且在页面中还包含有WiFi共享大师的跳转链接。巨盾网游安全软件官网,如下图所示:
巨盾网游安全软件官网
通过网站的版权信息,可以找到另一家关联公司“上海巨人统平网络科技有限公司”。网站页面,如下图所示:
网页版权信息
通过查询企业信息发现,上海巨人统平网络科技有限公司为上海巨人网络科技有限公司的全资子公司。股东信息,如下图所示:
股东信息
在该公司的软件版权信息中,可以找到巨盾网游安全软件官网相关注册信息。如下图所示:
公司的软件版权信息
三、        附录

点评

刚打开这个软件,火绒就提示我发现病毒Rogue/WiFiShare.a病毒ID:E1838990532EA4A8  发表于 2019-3-21 19:41
好可怕,我现在就在使用这个软件,还好有火绒  发表于 2019-3-15 23:28
这玩意儿以前用过去广告版,但是没想到的是它会往网页页面注入它的广告代码,贼恶心的  发表于 2019-3-14 21:39

免费评分

参与人数 37吾爱币 +38 热心值 +33 收起 理由
captain41129 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
your一Master + 1 + 1 我很赞同!
九月雏菊 + 1 真滴恶心,刚上大一连校园网的时候经常用这个软件的
Carbon_Slag + 1 我很赞同!
RZBJ + 1 + 1 用心讨论,共获提升!
chenqi + 1 + 1 我很赞同!
萤火虫先生 + 1 + 1 我很赞同!
冷浸一天星 + 1 + 1 谢谢@Thanks!
会飞的鱼ss + 1 + 1 热心回复!
clover52pj + 1 + 1 鼓励转贴优秀软件安全工具和文档!
静叶流云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
重鸣之蝉 + 1 + 1 火绒靠什么盈利的
之一 + 1 + 1 我很赞同!
admsir + 1 + 1 谢谢@Thanks!
canyue + 1 我用的火绒,从开始用到现在没有过任何提示,我还以为服务器关了公司倒闭了.
Tunny + 3 + 1 让他好好出名一下:“WIFI共享大师”
day小盏 + 1 + 1 热心回复!
战歌酒吧 + 1 + 1 热心回复!
小菜一碟S + 1 + 1 我也很喜欢火绒,但是总觉得它太安静了……
i_stone + 1 + 1 我很赞同!
厉风之子 + 1 + 1 谢谢@Thanks!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
武装Swat + 1 + 1 谢谢@Thanks!
qiqitrue + 1 鼓励转贴优秀软件安全工具和文档!
维系小冉 + 1 谢谢@Thanks!学习学习
vince991 + 1 + 1 警惕各种大师专家级别的软件
17315044449 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
zhang19960210 + 1 + 1 我很赞同!
ABADJane + 1 + 1 我很赞同!
qzeng + 1 + 1 火绒是我最喜欢的用的,干净无广告无推送
lopliop + 1 + 1 用心讨论,共获提升!
ablack无名 + 1 + 1 我很赞同!
chant520 + 1 + 1 火绒真的良心
让导弹飞 + 1 昨天才卸载,这玩意狂飙我cpu,篡改首页,电脑都卡死了
榻榻米 + 1 + 1 业内的一股清泉~
Eternity丶 + 1 + 1 厉害了
skrskr + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

J20 发表于 2019-3-14 21:37
“WIFI共享大师”还会躲避安全软件的查杀。该流氓软件启动后会检测用户电脑中是否存在杀毒软件,如果杀毒软件是Windows Defender,该软件会继续劫持用户首页,若是其他杀毒软件则不会劫持。
这也太秀了吧
skrskr 发表于 2019-3-15 08:29

一样一样的,共享大师主要针对学校局域网群体嘛,万能钥匙那就不一样了,家里的老人手机上都装的有
jizhihaoSAMA 发表于 2019-3-14 21:28
白梓木 发表于 2019-3-14 21:31
一直不喜欢用这类软件,还有个墨迹天气,也差不多一样恶心,
chenyongqi 发表于 2019-3-14 21:33
流氓软件。。
一叶知夏 发表于 2019-3-14 21:39
这真的是大佬~
西北风中的沙子 发表于 2019-3-14 21:40
楼主加油
skrskr 发表于 2019-3-14 21:41
wifi万能钥匙一直都是流氓软件吧
J20 发表于 2019-3-14 21:45
skrskr 发表于 2019-3-14 21:41
wifi万能钥匙一直都是流氓软件吧

这是共享大师
kasiwuhui 发表于 2019-3-14 22:14
还好没用这个软件!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 16:17

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表