近日,金山毒霸安全实验室监控到一款名为“锁大师”的流氓软件,该软件已开始大规模强制劫持用户浏览器主页,暗刷流量。 “锁大师”主要通过软件下载器为载体进行传播安装,预估受影响的用户量在百万级别。
图:“锁大师”以下载器为载体进行传播
图:”锁大师”下载地址
1、 “锁大师” 堪称一个Rootkit木马隐蔽性较高,它会通过创建文件过滤,将自己重定向到微软的文件上(ntkemgr.sys[恶意驱动]->重定向->partmgr.sys[微软正常驱动]),这样一来肉眼看则是正常文件,恶意驱动自身不会被发现。
图:文件重定向后
图:文件过滤
2、 “锁大师”使用KeUserModeCallback 注入Ring3并插入shellcode 进行PE文件的加载。
3、“锁大师”恶意模块劫持用户浏览器主页。
4、“锁大师”除了劫持主页外还会恶意暗刷广告。
目前,金山毒霸安全中心已经针对“锁大师”家族的流氓软件加强了清除和防御措施,可使用金山毒霸有效检出和清理“锁大师”恶意软件,并可以拦截其针对主流浏览器的恶意篡改。