1 月 22 日快科技有消息称,火绒发布了技术分析。该分析指出,QQ 音乐被“白加黑”加以利用,其网站被劫持,用于推广传奇私服。这一事件毫无疑问引发了广泛的关注。
QQ音乐异常进程自启现象
近期,火绒威胁情报中心监测到 QQ 音乐出现异常情况。在其目录下,发现存在异常的进程自启现象。经过深入的溯源分析后,确定与此相关的进程文件为 2021 年版本的 QQMusic.exe 文件。这一发现意味着,问题或许存在于旧版本的 QQ 音乐相关文件中。并且,这种自启的异常进程,很有可能是后续一系列劫持操作的起始点。在互联网安全领域,像这样的异常情况是必须要高度警惕的。QQ 音乐作为一款流行的音乐播放软件,每天都有大量用户在使用,它运行过程中的每一个细节都与众多用户的体验和安全息息相关。
从用户层面来看,他们在正常使用 QQ 音乐的过程中,可能完全不会察觉到后台出现了这样的异常情况。他们也许仅仅觉得这只是软件在正常运行,或者是出现了一些小的故障,压根就不会想到背后有可能隐藏着恶意的劫持操作。
“白加黑”技术加载恶意文件
攻击者借助“白加黑”这一相对隐匿的技术,将恶意 DLL 文件进行加载。此技术手段致使恶意行为的实施更为隐蔽,难以被察觉。接着,解压出用于劫持网页的模块,并安装恶意驱动。“白加黑”指的是利用一些看似正常的程序和文件来进行掩护,以实现将恶意内容掺杂其中从而实施作恶的目的。
普通用户根本没有识别这种恶意技术手段的能力。电脑上的程序看似正常运行,但背后却在悄悄进行劫持网页等恶意操作。此次 QQ 音乐被盯上,表明即使是非常普及且知名的软件,也存在被恶意攻击的风险。
劫持网页最终目的
攻击者进行一系列操作,其最终目的是把指定网址劫持到私服发布页面。这表明,用户原本计划访问正常的网站,然而却被恶意引导至私服发布页。例如,用户想要前往 QQ 音乐的官方网站,以进行查询相关音乐资讯或听歌等操作,但是因为遭到劫持,就有可能进入到一个与音乐完全没有关系的私服发布页面。
这种劫持行为对相关正规网站运营者是一种损失。原本的流量被恶意导向私服发布页面,这影响了自身的知名度,也影响了盈利等情况。对于用户来说,会带来极大的困扰,也会带来不好的体验。
恶意驱动隐藏与干扰功能
该恶意驱动具备检测 ARK 工具驱动的能力,并且会对其断链,以此来隐藏自身驱动。就如同病毒给自己披上了隐形衣,致使安全检测工具难以察觉到它的存在。与此同时,它还会对安全软件的通信进行干扰。如此一来,即便安全软件发现了一些细微的迹象,当它想要通过通信来进行深入查杀等操作时,也会因为这种干扰而难以顺利开展。
这增加了安全防御的难度,这对安全防护软件是个很大的挑战。普通网络用户的电脑中,其安全防护软件可能在不知不觉中被干扰而无法正常工作,容易被病毒钻了空子。
恶意DLL文件执行逻辑阶段
恶意 DLL 文件的执行逻辑包含三个阶段。初始阶段时,样本会先释放并运行传奇私服程序,这表明从一开始,病毒就已将私服程序暗中启动。接着,它会下载配置文件,并对指定文件和注册表进行检查,以此来决定进入哪条分支。
可以想象这样一种逻辑,即通过检查文件和注册表来决定分支,它就如同一个有着多重选择的岔路口。而病毒会依据不同的情况,去选择最为隐蔽且有效的作恶方式。
在下载劫持模块这个阶段,第一分支与第二分支承担着下载劫持模块的任务。第三分支,由于无法成功下载文件,火绒无法确切知晓它是否执行了该操作,但依然将其归入此阶段。而在劫持模块阶段,会进行把指定网页劫持到传奇私服发布页的操作。
火绒的应对措施
目前,火绒安全产品具备对上述病毒进行拦截查杀的能力。有防范意识的用户,或者有查杀需求的用户,能够前往查看火绒关于该病毒的完整分析过程。这对于众多 QQ 音乐的用户以及其他担忧自身电脑安全的用户而言,是一个利好消息。
这反映出我们在网络安全方面存在无奈。每次都是安全软件先发现问题并提出解决措施,然而很多用户在尚无防范此类安全问题的措施时,就有可能遭受损失。我们不禁思考,在互联网环境下,众多普通用户怎样才能更好地保护自己的电脑,使其不被此类恶意劫持攻击?也欢迎大家在评论区分享自己的想法,同时点赞和转发,让更多人意识到这类安全问题。
