分析ChromeLoader伪装的盗版游戏程序
自去年以来,在恶意软件分发中使用磁盘映像文件(例如 ISO 和 VHD)的案例开始增加。这篇文章将介绍最近发现的使用 VHD 文件分发ChromeLoader的情况。这些VHD文件在分发时使用的文件名使它们看起来像是任天堂和Steam游戏的破解或 注册机。分发中使用的一些文件名如下。一些破解的文件名中包含一些付费软件。
- irymountain.com[.]ua
- lesexwrecko[.]xyz
- alnormatic[.]xyz
通过此过程下载 VHD 文件时,用户很容易将恶意 VHD 文件误认为是游戏相关程序。恶意 VHD 中的文件如下所示。除了 Install.lnk 文件之外的所有内容都启用了隐藏属性,因此普通用户只会看到 Install.lnk 文件。

Install.lnk运行properties.bat文件,properties.bat文件依次用tar命令解压“%AppData%”路径下的files.zip。files.zip文件包含正常文件和与node-webkit(nw.js)相关的恶意js文件。node-webkit是一个使用Chromium和 Node.js 的网络应用程序。它可以通过nw.exe运行并引用package.json文件中写入的数据。node-webkit用于利用这些特性的以下过程。


然后properties.bat运行data.ini文件和解压后生成的videos.exe文件。首先,data.ini是一个 VBScript 命令,它在路径“%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\”中创建videos.exe的快捷方式。

videos.exe文件里面有nw.exe,引用package.json来运行main属性指定的脚本。main属性指定的脚本是文件start.html,其中包含经过混淆处理的恶意JS。

最终,videos.exe文件执行 start.html 中的恶意 JS,它连接到以下地址并尝试下载 ChromeLoader。目前,无法访问这些地址。ChromeLoader 是一种通过 Chrome 扩展程序执行恶意行为的广告软件。ChromeLoader创建并执行的恶意扩展重定向到一个广告网站,通过劫持收集用户浏览数据。它具有各种功能,例如收集浏览器凭据和修改浏览器设置。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4442.html