2345导航弹窗广告携带病毒，盗取英雄联盟和WeGame等游戏账号

今天凌晨5点，火绒安全团队监测中心在论坛发布消息，部分“2345导航站”首页的弹窗广告携带盗号木马，该病毒会偷取QQ、游戏平台（steam、WeGame）、知名游戏（地下城与勇士、英雄联盟、穿越火线）的账号。这是一次设计精巧、组织周密的大规模盗号行动，利用周末时间突然发起攻击，主要目标是网吧游戏用户。

2345导航站中相关广告内容和相关HTML代码

溯源分析

通过对域名 yyakeq.cn 和 ce56b.cn 的溯源，发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册，且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名，其中一些域名指向页面包含明显的欺诈内容（如下图所示），所以不排除这些域名是想在未来用作C&C服务的DGA（Dynamic Generation Algorithm）域名。

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击，之后再根据浏览器的User Agent加载不同的IE漏洞利用代码（banner.html或cookie.html）。

缙哥哥查询此黑产团伙至少盗用二十余家公司信息注册域名，这些公司多集中在湖南和湖北两省份。

盗号病毒溯源

通过对盗号病毒收集URL的Whois查询，可以得到如下信息

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查，此人以同样的命名方式于2018年4月20日共注册了15个近似域名，另外，通过ICP备案查询发现，其中部分域名还经过了ICP个人备案。

• 备案主题：邹中阳
• 备案号：鄂ICP备18010153号-1
• 网站名称：生活笔记
• 网站首页地址：www.zouxian11.cn
• 审核时间：2018-05-09

并且同日（2018年4月20日），此人还用同样的QQ邮箱（2659869342@qq.com）和不同的姓名注册了另外两个形式与前述域名相似的域名。

缙哥哥提醒

最后，缙哥哥建议小伙伴们使用最新版的谷歌浏览器，因为他主动停止FLASH插件，需要你的点击才会运行。并且内置的Flash Player插件随浏览器版本升级，无需用户额外安装或者安装国内特供的带广告版本。

同时也建议用户下载火绒（目前火绒杀毒真可谓国产杀毒软件的一股清流，超小的安装包、主动式防御、没有广告及全家桶）开启主动防御功能防止病毒通过浏览器发动攻击，对于游戏账号尽量开启两步验证。

对了，现在的导航站都一副尿性，能不用就别用吧！

扩展阅读

• 《双11成2345流氓软件劫持骚扰节，附解决2345广告方法》
• 《如何彻底清理屏蔽2345的“好压haozip”广告弹窗》
• 《又收到黑客性勒索邮件，缙哥哥开启邮箱登陆二次验证功能》