火绒安全报告,2020年5月有大量用户在火绒论坛反馈首页遭遇劫持。火绒工程师溯源发现,上述用户均是在某激活工具官网(现已被火绒拦截)下载安装了小马激活、暴风激活、KMS等激活工具导致首页被劫持。进一步分析发现,这些激活工具均携带了一款名为“麻辣香锅”的首页锁定病毒,病毒感染用户电脑后会将首页劫持为“http://**?.****111.top”(“?”为任意数字,如下图)。
用户中毒后浏览器首页会被劫持到病毒作者预设的跳转链接(本文中该链接为hxxp://sg?.dhtz111.top,?代表任意数字,且链接可能随着病毒更新而更换,如:hxxp://hl?.gndh111.top)。除此之外,该病毒还具有删除安全软件进程回调、禁止浏览器首页模块加载等功能,并且还可以通过本地的升级程序不断更新。更有意思的是,该病毒为了能够稳定地 “霸占”用户电脑,还会收集用户本地的蓝屏dmp文件,从而发现病毒驱动潜在的蓝屏问题。
病毒驱动会将恶意代码注入到svchost.exe进程中,之后病毒驱动会将所有网络流量数据发送到被注入的svchost.exe进程,由恶意代码判断网络流量数据和进程名称是否满足劫持条件。只有进程和网络流量数据同时满足劫持条件时,才会执行劫持逻辑。
A、先使用火绒专杀工具进行杀毒,在配合火绒或者360进行全盘扫描清理病毒,最后使用其他激活软件(先使用火绒等对激活工具查杀确定无病毒捆绑)对Windows激活,为电脑安装杀毒软件。
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
%HOMEPATH%\AppData\Local\Temp\boot.exe
compact
attrib
cmd
cmd.exe
icacls
(2)删除服务
R
iaLPSS1z
LSI_SAS2l
(3)排查 inf 文件中是否有可疑启动程序
E:\AutoRun.inf
(4)删除文件
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_LOOK.sys
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_Protect.sys
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
%HOMEPATH%\AppData\Local\Temp\boot.exe
%HOMEPATH%\AppData\Local\Temp\run.exe
%HOMEPATH%\AppData\Local\Temp\tmp3.dll
%HOMEPATH%\AppData\Local\Temp\boot.exe
%HOMEPATH%\AppData\Local\Temp\license.xrm-ms
%HOMEPATH%\AppData\Local\Temp\run.exe
%HOMEPATH%\AppData\Local\Temp\Xiaoma.exe
%HOMEPATH%\AppData\Local\Temp\tmp.dll
%HOMEPATH%\AppData\Local\Temp\tmp2.dll
%HOMEPATH%\AppData\Local\Temp\_J8251NOVDEC.exe
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wccenter.exe
%HOMEPATH%\AppData\Local\Temp\boot.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_LOOK.sys
%HOMEPATH%\AppData\Local\Temp\run.exe
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wuhost.exe
%HOMEPATH%\AppData\Local\Temp\Xiaoma.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\DvLayout.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_Protect.sys
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wdlogin.exe
%HOMEPATH%\AppData\Local\Temp\nsxA913.tmp\System.dll
%HOMEPATH%\AppData\Local\Temp\_J8251NOVDEC.exe
(5)恢复系统设置
"C:\Windows\System32\icacls.exe" E:\OANYO /remove administrators
"C:\Windows\System32\icacls.exe" E:\OANYO /inheritance:r
"C:\Windows\System32\icacls.exe" E:\RIFHX /grant administrators:F
icacls E:\RIFHX /grant administrators:F
icacls E:\OANYO /inheritance:r
icacls E:\OANYO /remove administrators
2、暴风激活
(1)杀掉进程
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
cmd.exe
(2)删除服务
R
iaLPSS1z
LSI_SAS2l
(3)删除文件
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_LOOK.sys
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_Protect.sys
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
%HOMEPATH%\AppData\Local\Temp\_J881.exe
%HOMEPATH%\AppData\Local\Temp\baofeng15.0.exe
%HOMEPATH%\AppData\Local\Temp\_J881.exe
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wrme.exe
%HOMEPATH%\AppData\Local\Temp\baofeng15.0.exe
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wccenter.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_LOOK.sys
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wuhost.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\DvLayout.exe
%HOMEPATH%\AppData\Local\Microsoft\WindowsApps\KMDF_Protect.sys
%HOMEPATH%\AppData\Local\Microsoft\Event Viewer\wdlogin.exe
%HOMEPATH%\AppData\Local\Temp\nstCC2B.tmp\System.dll
参考资料:《激活工具散播锁首病毒“麻辣香锅” 诱导用户退出安全软件》-火绒安全
