一、基本情况

近日，监测到有游戏下载网站利用《怪物猎人:世界》等多款知名游戏进行传播劫持木马。经分析，该木马具备劫持浏览器主页及默认搜索页、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等恶意行为。

      二、攻击原理

经过溯源发现：木马传播者对《孤岛惊魂5》、《怪物猎人：世界》、《极品飞车20》、《鬼泣5》、《边缘世界》等知名游戏进行二次打包并加入木马程序，然后通过游虎游戏网(hxxp://dj.dianjinghu.com)进行传播。近期在游虎游戏网站中下载过单机游戏的用户请尽快使用杀软进行查杀。

主要执行流程如下：

游戏安装完用户点击桌面游戏快捷方式开始游戏后后首先会请求hxxp://down.qm188[.]com/yhlock.7z得到了一个采用AES加密的压缩包文件yhlock.7z， 该压缩包经过AES解密后，解压释放出demo.dll并加载其导出函数plugin_lock()：相关代码如下图所示：

调试解密yhlock.7z成PE文件如下图所示：

该文件内存中加载后会继续从hxxp://down.qm188[.]com/check.7z下载一个同样使用AES加密的压缩包，解密解压缩后包含一个Lock.dll并加载执行(PDB信息：d:\浏览器相关\Lock\release\Lock.pdb)：调试解密check.7z成PE文件如下图所示：

该DLL文件封装了针对市面上超过15款主流浏览器的劫持修改函数：

而demo.dll则主要执行：

1) 篡改浏览器收藏夹，静默替换收藏项链接；

2) 篡改浏览器Cookie

3) 安装浏览器扩展(具备劫持功能)；

4) 获取浏览器历史浏览记录

5) 锁定浏览器主页有：

https://www.hao123.com/?tn=98625814_hao_pg

http://daohang.qq.com.cn0d.qq.1230578.com/%d.html

http://123.sogou.com.cnsg.123.1234034.com/%d.html

http://www.2345.com.cn.2345.hao3603.com/%d.html

判断杀软，修改IE浏览器的主页；相关代码如下图所示：

篡改浏览器的cookie,会修改host_key为.hao123.com的cookie部分代码如下图所示：

另外锁定的导航链接并不是唯一的，会通过生成随机数来拼接出随机的导航链接地址，并通过随机数控制一定机率来选择锁定为host和不同二级域名的链接，猜测是为了躲避对抗某些杀软和浏览器对被篡改为同一链接的监控；相关代码如下图所示：

      三、影响范围

该劫持木马受影响用户范围广泛，山东、福建、四川的网友受影响最多。

      四、处置建议

针对该劫持木马的传播，建议各用户采取以下临时措施：

1) 用户电脑应开启杀毒软件防护，有效拦截各类病毒木马病毒攻击，保护电脑隐私及财产安全;

2) 在下载游戏时，尽量使用正规下载渠道;

3) 对于杀毒软件报毒的程序，不要轻易添加信任或退出杀软运行。

      五、参考链接

1) https://www.toutiao.com/i6747626807207395851/?wxshare_count=2&from=groupmessage×tamp=1571095901&app=news_article&isappinstalled=0&req_id=20191015073141010008043108151AB422&group_id=6747626807207395851&pbid=6714439618304345608