2016年新型浏览器劫持病毒——“百变导航”病毒!ie5186.ren跳转近日,互联网上又掀起了一阵新型的浏览器劫持事件。同其它劫持浏览器的病毒一样,该病毒也会恶意篡改中毒电脑的浏览器首页。但是与其它同类病毒不同的是,该病毒并不是在IE属性中篡改浏览器主页,而是当受害者打开浏览器时直接重启进程将浏览器首页跳转至病毒预设的导航网站,且导航网站多变不固定。由于该病毒是驱动级兼注入型病毒,所以杀毒软件查不到任何危险程序以及可疑启动项目。
病毒名称:“百变导航”病毒;
病毒类型:恶意推广程序;
危害等级:★★★
危害平台:Windows 系统;
首发日期:2016年4月;
病毒传播:
“百变导航”病毒主要通过“病毒下载器”或“网站挂马”进行传播,对长期未更新杀毒软件的电脑感染几率更大。该病毒入侵受害者计算机后,首先会在“C:\WINDOWS\system32”目录下创建一个名为“MsslnthalEs.dll”的病毒动态链接库,并在注册表中为其创建随机启动的隐藏服务项。然后会在“C:\WINDOWS\AppPatch”目录下创建一个以“Ke”开头后序文件名为6位随机数字组成的“.xsl”文件,并在注册表中为其设置数值数据。最后会在“C:\WINDOWS\system32\drivers”目录下创建一个名为“dump_slnthal.sys”的驱动程序,并在注册表中为其创建随机启动的隐藏服务项。
病毒分析:
“MsslnthalEs.dll”是“百变导航”病毒的主程序,主要功能用于劫持受害者浏览器主页,并拥有自我修复功能。以“Ke”开头后序6位随机数字命名的样式表文件其实是“百变导航”的病毒安装包数据库,不过该病毒的真正安装资源是以二进制代码储存在注册表中的。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure”的分支下包含了该病毒的所有数据资源,如果将子项“Secure”全部导出为“.reg”文件,则导出后的注册表脚本文件大小为“8.70 MB”!当中毒电脑启动后,“MsslnthalEs.dll”就会读取该注册表中的数值数据对病毒二进制代码进行解析,然后将解析成功后的数据以“Ke”开头后序6位随机数字的命名方式保存在“C:\WINDOWS\AppPatch”目录下,最后对其解压重装病毒。因此,该目录下以“Ke”开头的样式表文件在每次随机启动后都会被重新命名和重新创建。由于该文件和“MsslnthalEs.dll”是相互作用的,所以如果该文件丢失,“百变导航”病毒也将无法修复自身。“dump_slnthal.sys”是“百变导航”病毒的驱动级自我保护程序,主要功能用于隐藏自身程序和加密自身程序。而且“dump_slnthal.sys”是一个持有数字证书的病毒驱动程序,导致众多杀毒软件监测到其非法行为后也会对其放行通过,可见“百变导航”病毒在隐身和防补丁以及免杀方面下了很大功夫。本次病毒驱动程序“dump_slnthal.sys”使用的是“西安信利软件科技有限公司”的数字证书。
病毒行为:
“MsslnthalEs.dll”随“svchost.exe”启动后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“AcRamIe.sdb”的空间数据库文件,然后复写该文件中的数据向系统进程“explorer.exe”注入病毒代码,之后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“Custom”的病毒文件夹,最后卸载自身模块。病毒文件夹“Custom”是“百变导航”病毒的数据库,其目录下的所有文件均为病毒劫持浏览器主页的配置文件。如果该文件夹丢失,病毒劫持受害者浏览器后将无法跳转至指定域名。“dump_slnthal.sys”随系统内核运行后会隐藏自身文件和病毒主体程序“MsslnthalEs.dll”,并为其进程加密,使一般杀毒软件无法读取其内存数据。“dump_slnthal.sys”的监视范围是全盘位置,如果其它目录下出现与两者同名的文件和文件夹也会被“dump_slnthal.sys”隐藏和加密。被注入病毒代码后的系统进程“explorer.exe”理所当然就成了“百变导航”病毒的傀儡进程,从而导致其自身功能也受到了一些影响。比如在中毒过程中经常会伴随着出现一些桌面自动刷新、程序自动运行、文件夹自动打开、文件夹自动关闭、按键时自动弹出删除文件和文件夹提示等一系列的界面操作异常化问题,就好像感觉被抓肉鸡一样(如果电脑中缺失“explorer.exe”,“百变导航”病毒劫持浏览器主页的能力也会丧失)。随后,包含病毒代码的“explorer.exe”便会时时刻刻监视受害者访问网络的情况。如果监测到受害者打开任何一款浏览器,病毒代码就会控制“explorer.exe”强行关闭当前浏览器窗口,然后读取“C:\WINDOWS\AppPatch\Custom”目录下的病毒配置文件,并启动系统默认浏览器将域名连接到“http://www.975186.ren/”,最后再由该域名跳转至病毒服务器预设的导航网站。由于劫持受害者浏览器的导航网站是跟随病毒服务器的域名设置变化而变化的,所以这个域名可能会成为任何一个导航网站的转接站。因此,该域名受到病毒服务器的随时设置和调动,也就造成了劫持受害者浏览器的导航网站也各不一样。到目前为止,被病毒域名转接过的导航网站有“360导航”、“hao123导航”、“MSN123导航”、“2345网址导航”等等……故而该病毒称之为“百变导航”病毒。目前(2016年5月)该病毒域名指向的流氓导航网站是“http://www.2345.com/?24384-2284”。
病毒清理:
由于在内存中被注入病毒代码的“explorer.exe”并没有被插入病毒模块,所以在“任务管理器”中结束“explorer.exe”后再重启该进程即可恢复浏览器的正常使用(此步可免)。
1:重启电脑按“F8”键进入“安全模式”。
2:删除如下病毒程序。
C:\WINDOWS\AppPatch\Custom
C:\WINDOWS\AppPatch\AcRamIe.sdb
C:\WINDOWS\AppPatch\Ke******.xsl
C:\WINDOWS\system32\MsslnthalEs.dll
C:\WINDOWS\system32\drivers\dump_slnthal.sys
3:删除如下病毒注册表项值。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal
2016年新型浏览器劫持病毒——“百变导航”病毒!ie5186.ren “百变导航”病毒的变种比较多,感染受害者电脑后释放的病毒程序可能会多种多样,但这类病毒的危害程度和解决方案大致都是一样的。本文只是解析了一个变种的破坏行为和查杀方法,如果遇到其它变种建议使用杀毒软件更新最新病毒库后再进行查杀!
计算机反病毒专家 —— 羊羔助手(Lamb Assistant)
