“右键大师”安装后会注册资源管理器右键扩展YJDSContextMenuExt.dll,YJDSContextMenuExt64.dll,只要用户在资源管理器下鼠标右击就会激活。利用系统白进程“svchost.exe”和 “cscript.exe”注入shellcode加载云控下发的skin.dat和dump.dat (SDTarget.dll)。
该模块是一个“暗刷”模块会创建一个隐藏窗口和多个定时器,采用IE内核作为浏览器引擎。从目前下发的配置看主要通过搜索入口,搜索相关热词点击广告刷量,要点击的广告域名配置由后面对应的链接提供。
在分析过程中我们发现了一款下载器在推广“右键大师”。该下载器通过百度SEM定向地区投放,内部代码,云控协议和下发配置与“狙击者木马”一致。且下载器内置“SDTarget.dll”的功能,强制安装另一款恶意扩展“券大师”。同时我们发现该下载器打开后即使什么都不做直接关闭窗口也会强制安装它推广的流氓软件。投放商为”裕华铂昂计算机信息技术服务部“和“无锡乐享职途人力资源有限公司“。
用户可以通过毒霸全盘扫描进行查杀
IOC:
[MD5]
ad1707033eb0f05432d2fcb99f95cbe1
25293e8ffdecef1a92b1ea23d09dbd5b
94a8fd58a7eb2a5482730e85fb688145
1d0f5775b709951474d4a0e5b98838c2
c47d22182650450fd9aa87ca6e1e24f0
8abf337baa01006a14f04cbe4f6744db
5a3d05e9a0d5f29edb2074baa1f47a90
c6489f51f2b5433ff2165b0fc5b251de
7b674a41141f2b5e1676833eb03b9105
509977ecaf97d8a4a2e574740b67fd1e
15fcf7df9d0f8e6e7714b4d0ffd8e124
af0abf27323acdb0dc652208ca514d69
c9ab9cc2c94c50a2a1ff8573f52cfda5
32819f51561d233e917399dc677ae0f9
4bce97234d9ef8db01ba5999c9018837
8ca8c31db78091f9773b17358272e607
7ce2aebec597a8b900602e67f439a7e6
7f6b05c50a71af7fa5b5a0ec755d0ff0
6a35a2fcff83a13604db86700b8127ba
10b2a7537d35111ac72cbe2b1e9346e8
3b99726114fea3989a4819fe66715169
9fdb7ad4c5f14181f814069ff766c777
f567d43befdaef3b3ef80ea4a63c6178
54e1b893538ad9d62f912686690018b0
dc38a3480b103f9fca1f8779ebfd4d26
8a441293e7774ddc6f4cde718408fd2f
b71fc72d92b903787a27a087b2c1dccd
484eb3fe2ca7292796c3df123ff5ca52
ea81b5543bad157b2abbf8f68315b9c4
45dda9324ea878618d9eadd840038f2c
5544e7cd28fb71ac7e9db03b91ddbb63
30bf2b6d549fd2cf9f6f17ece0768b02
309f62b80bd1a817f052525e189f2ca7
a0236654f6f8b5a3ac13de596cecd311
893d1a0a6276442014230003be37b796
c4a55163c4aaa18e2d4323df7b9782db
898f68258dd4253539bf658409f5f5bc
[URL]
hxxp://www.fdkm88.com
hxxp://p.vipkdy.net/
hxxp://app.1hshop.com
hxxp://123.koushuidang.cn
hxxp://www.fanqianbb.com
boang1.cn
[签名]
ShanghaiZheyue Financial Information Service Co.,Ltd
ShanghaiQianya Network Technology Partnership (LP)
ShanghaiBan Ru Information Technology Co. Ltd
北京溱洧泽溪网络科技有限公司
淮安凯盈网络科技有限公司