QQ音乐遭利用加载恶意文件!网站被劫持推广私服
今天火绒发布技术分析,称QQ音乐遭遇“白加黑”利用,网站被劫持推广传奇私服。
火绒表示,近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象,经溯源分析,确认该进程文件为2021年版本的QQMusic.exe文件。
攻击者利用“白加黑”技术加载恶意DLL文件,解压出劫持网页模块,随后安装用于劫持网页的恶意驱动,最终达成将指定网址劫持至私服发布页面的攻击目的。
初始阶段:样本首先释放并运行原始文件,即传奇私服程序,随后下载配置文件并检查指定文件和注册表决定进入哪条分支。
下载劫持模块:第一分支和第二分支负责下载劫持模块,尽管第三分支由于无法成功下载文件,所以火绒无法确切判断它是否也会执行下载劫持模块的操作,但在分类上依然将其归到这一阶段当中。
劫持模块:劫持模块中实现劫持操作,将指定网页劫持至传奇私服发布页。
目前,火绒安全产品可对上述病毒进行拦截查杀,感兴趣的可以前往查看完整分析过程。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
沈娜娜
关注网络尖刀微信公众号
