缙哥哥的博客
与你分享我的点点滴滴生活

2345导航弹窗广告携带病毒,盗取英雄联盟和WeGame等游戏账号

今天凌晨5点,火绒安全团队监测中心在论坛发布消息,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。

2345导航弹窗广告携带病毒,F12查看源代码截图!

2345导航站中相关广告内容和相关HTML代码

溯源分析

通过对域名 yyakeq.cn 和 ce56b.cn 的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。

2345导航弹窗广告携带病毒,F12查看源代码截图!

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击,之后再根据浏览器的User Agent加载不同的IE漏洞利用代码(banner.html或cookie.html)。

缙哥哥查询此黑产团伙至少盗用二十余家公司信息注册域名,这些公司多集中在湖南和湖北两省份。

盗号病毒溯源

通过对盗号病毒收集URL的Whois查询,可以得到如下信息

2345导航弹窗广告携带病毒,病毒域名whois查询结果!

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名,另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案。

  • 备案主题:邹中阳
  • 备案号:鄂ICP备18010153号-1
  • 网站名称:生活笔记
  • 网站首页地址:www.zouxian11.cn
  • 审核时间:2018-05-09

并且同日(2018年4月20日),此人还用同样的QQ邮箱(2659869342@qq.com)和不同的姓名注册了另外两个形式与前述域名相似的域名。

缙哥哥提醒

最后,缙哥哥建议小伙伴们使用最新版的谷歌浏览器,因为他主动停止FLASH插件,需要你的点击才会运行。并且内置的Flash Player插件随浏览器版本升级,无需用户额外安装或者安装国内特供的带广告版本。

同时也建议用户下载火绒(目前火绒杀毒真可谓国产杀毒软件的一股清流,超小的安装包、主动式防御、没有广告及全家桶)开启主动防御功能防止病毒通过浏览器发动攻击,对于游戏账号尽量开启两步验证

对了,现在的导航站都一副尿性,能不用就别用吧!

扩展阅读

历史上的今天:

  1. 2018年:  《歌郎Q70随身音响不响了,维修陷入死循环!》- 作者:缙哥哥(4)
  2. 2017年:  《[写真]被梦点缀的童话世界,[话题]还记得你最初的梦想吗》- 作者:缙哥哥(29)
  3. 2017年:  《乘风破浪 Duckweed 2017 1080p HDTC 原画 超高清 迅雷下载》- 作者:缙哥哥(0)
  4. 2016年:  《如何在缙哥哥的博客获取积分?》- 作者:缙哥哥(26)
赞(4) 打赏
转载请注明来源及链接:缙哥哥 » 2345导航弹窗广告携带病毒,盗取英雄联盟和WeGame等游戏账号
分享到: 更多 (0)

评论 8

评论前必须登录!

 

  1. #2

    火绒目前口碑确实很好,我电脑里一直是微软自带的杀毒软件!

    • 我是因为感觉火绒更加习惯,就一直用这个了

      • 这个产品不错的, 什么XX 卫士、XX 管家、XX 霸没人受得了!

        • 以前用360是因为帮小白客户装机用,像我自己经常影子、冰点伺候着测试软件都没怎么用,所以到现在也是办公电脑装装火绒!睡觉啦,晚安

          缙哥哥3周前 (04-01)
  2. #1

    都为利益所驱使,都不知道该相信谁。。。哎。。

    • 我记得以前的2345不是这个样子的,那时候是一股清流,而现在已经被淤泥所浸染……

      • 哈哈,还是那句话,是坏人变老了,还是好人变坏了呢?看看某60

        • 我觉得360是电脑小白中的一股清流,很适合他们使用,也能很方便的解决一些问题。稍微懂一点的人受不了这些全家桶广告!

          缙哥哥3周前 (04-01)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏