hao123首頁綁架風雲再起,新病毒「麻辣香鍋」結合「激活工具」,誘騙消費者關閉防毒自廢武功
最近有大量的中國使用者在中國的安全論壇「火絨論壇」反應,瀏覽器遭到了首頁綁架的問題。而論壇發現這些受害者幾乎都是去某一個「激活工具」的官網下載了軟體之後,瀏覽器的首頁就被劫持了。經過分析,這些受害者下載的「激活工具」都夾帶了被稱為「麻辣香鍋」的首頁鎖定病毒,安裝後你的瀏覽器將甩都甩不掉hao123。
中國所謂的「激活工具」,可以稱為啟動工具,也就是讓一些本來需要序號、註冊的付費軟體,透過這些激活工具來啟動,變成已付費的軟體。而在中國也會有一些專門的網站,蒐集了大量的這些「激活工具」,因此自然有大量的網友會前去下載工具。
不過,根據「火絨」的工程師發現,從這些網站下載的,包括「暴風激活」、「KMS」、「小馬激活」等工具,裡頭都夾帶了一款名為「麻辣香鍋」的首頁鎖定病毒,病毒感染使用者電腦後會將首頁劫持為「http://**?.****111.top」(「?」為任意數字,如下圖)。
根據工程師分析,這款病毒鎖定首頁後,還會禁止瀏覽器自行改回原有的首頁,並且會破壞安全軟體的追殺,甚至可以透過升級工具不斷更新。甚至如果使用者電腦當機的話,它還會蒐集使用者的當機訊息,工程師推測是從中對受害者電腦進行分析。
而且因為此類的「激活工具」,通常是中國網友在裝機的時候會使用的,因此這些工具安裝的順序往往要早於防毒軟體,甚至就算是電腦已經裝了防毒軟體,在網頁上也會誘導使用者,建議他們先關閉防毒軟體,以免「誤殺」要安裝的程式。透過這種理由,讓綁架軟體正大光明地進駐到你電腦裡。
根據「火絨」的工程師表示,今年以來,「麻辣香鍋」病毒在中國的網友間大量傳播。「麻辣香鍋」病毒名稱的由來,是因為其病毒模組所在目錄為「Mlxg_km」因此得名。使用者中毒後首頁會被劫持到病毒作者預設的跳轉鏈接,除此之外,該病毒還具有刪除安全軟體、禁止瀏覽器首頁模組加載等功能,並且還可以透過本地的升級程式不斷更新。
更有意思的是,該病毒為了能夠穩定地 「霸佔」使用者電腦,還會收集使用者本地的當機dmp檔案,從而發現病毒導致潛在的當機問題,因而去改善病毒。在病毒下載頁面中,頁面文字會誘導使用者「請務必先退出360、騰訊管家、Win10防護等殺毒軟體,再去下載激活」,用此方式躲避安全軟體。