免费SS | 加入收藏 | 设为首页 | 我要投稿 | 赞助本站 | RSS
 

freefq.comfree——免费、自由fq——翻墙

困在墙内,请发邮件到freefqcom#gmail.com获得最新免费翻墙方法!
点击→开始SSL加密访问本站→https://www.freefq.com免费翻墙网
您当前的位置:首页 > 网络安全

Webfreer翻墙浏览器暗藏挖矿沐吗

←分享
时间:2018-10-07  来源:freebuf  作者: ★推荐请点击G+1→

0×1 概况

自2009年比特币面世后,短短8年时间,虚拟币市场涌现出数十种基于区块链技术的虚拟币,催生了“炒币热”。虚拟币通过消耗计算机计算力来产生钱币,面对万亿市值的虚拟币市场,不少不法分子动起了坏心思,“前仆后继”地踏上不一样的挖矿之路。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

近 日,腾讯安全反病毒实验室监测到一异常流量,通过分析发现是一款名为”Webfreer”的翻墙浏览器存在猫腻。该浏览器在用户不知情的情况下,悄悄启动 挖矿程序进行挖矿(主要是比特币和门罗币),使中毒机器变得异常卡慢,出现网速变慢等症状。Webfreer浏览器通过官网 (www.webfreer.com)、软件下载站和社交渠道进行传播,目前已有数万个用户受影响,且挖矿涉及金额高达百万人民币!5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

0×2 样本分析

Webfreer 是一款基于chromium开源项目进行开发的浏览器,不法分子通过插入恶意代码,然后重新编译生成沐吗程序。由于开源项目的原因,该类沐吗程序容易被杀 毒软件判白。此外,Webfreer作为一款翻墙浏览器,内置VPN代理,正常网络流量和恶意流量交叉混合,使得该沐吗隐藏性极高。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

(VT查杀—几乎没有引擎报毒)5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

Webfreer最早的版本没有后门,但在后期升级版本中,开始插入了恶意代码,插入的恶意代码比较简单,没有云控,主程序启动后,挖矿程序随之起来。5vp免费翻墙网

版本 是否有后门
Webfreer 1.0.0.0 无后门
Webfreer 1.1.1.1 有后门,挖比特币,2014年开始传播
Webfreer 1.3.2.0(最新) 有后门,挖门罗币,2017年开始传播

下面对安装包进行解压,对比各个版本的文件,红框表示是沐吗样本。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

挖矿执行流程图:5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

1、Webfreer 1.1.1.1分析:

病毒样本:5vp免费翻墙网

chrome.dll:浏览器主dll模块,会拉起webproxy.exe5vp免费翻墙网

webproxy.exe:挖矿程序5vp免费翻墙网

1) 安装时,会创建自启动项,开机时启动主程序Webfreer.exe。5vp免费翻墙网

2) Webfreer.exe启动时,会加载chrome.dll。5vp免费翻墙网

3) chrome.dll主线程会创建一个定时器,目的是不断地拉起挖矿进程。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

4) 检测是否存在”WebClientService”服务,保证只有一个挖矿实例,因为在其它版本中,挖矿程序是会创建一个名为”WebClientService”服务进行挖矿,后面会有涉及。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

5) 创建webproxy进程开始挖矿,挖矿使用stratum挖矿协议,传入挖矿参数,如矿池、钱包信息等。5vp免费翻墙网

挖矿参数:5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

调用CreateProcess创建进程:5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

2、Webfreer 1.3.2.0分析:

病毒样本:5vp免费翻墙网

WebClientService.exe:服务程序,开机启动,拉起webproxy.exe5vp免费翻墙网

webproxy.exe:挖矿程序5vp免费翻墙网

1) 安装时,会在system32目录释放WebClientService.exe和webproxy.exe。5vp免费翻墙网

2) 安装完成后,安装包程序会启动WebClientService.exe进程。5vp免费翻墙网

3) WebClientService注册一个服务,开机自启动。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

4) 调用CreateEvent创建事件,保证只有一个实例在运行。5vp免费翻墙网

5) 访问google网站来测试浏览器是否正常工作,如果无法访问,继续等待。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

6) 在system32目录或Webfreer安装目录得到webproxy.exe的路径,调用CreateProcess创建进程,开始挖矿。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

7) 同时起一条线程,不断检测webproxy.exe进程是已经退出,如果退出了,再次拉起webproxy。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

0×3 溯源分析

上述分析得到两个地址。5vp免费翻墙网

1、比特币钱包地址:113vvkxZvZHuou7jGwTrDHa4EY7XUKBHbt5vp免费翻墙网

这个钱包总接收近50个比特币,以当前的比特币单价算,总值达到100多万人民币!5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

2、门罗币钱包地址:478WNYwHN4SQs8j89P8QJY4DKm2c6JhCQizi5ucjooKuFQirbtEsafJinSXLwZcysnN1L98r2vocKjGjKoXRrEiRGpmyErc5vp免费翻墙网

这个钱包共有12个门罗币,以当前的门罗币单价算,总值达到6000元人民币。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

3、通过溯源分析找到同源样本,如下,该样本伪装成shadowsocks翻墙软件,实际上纯粹是一个门罗币挖矿沐吗,推测作者可能偏爱在翻墙软件这个点上进行沐吗传播。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

4、官网www.webfreer.com 服务器IP在加拿大,该公司号称:Appaxy Inc(未证实是否已注册)。对官网进行whois分析,得到注册名为:Mi**ke,通过注册名反查到一个qq号,叫米高x,可疑程度比较高。5vp免费翻墙网

披着羊皮的狼:Webfreer翻墙浏览器暗藏挖矿沐吗 -E安全5vp免费翻墙网

0×4 结语

“炒币热”催生了挖矿黑色产业链,看似正常的翻墙浏览器也暗藏猫腻,让人防不胜防。在巨大的利益诱惑下,不法分子的手段穷出不尽,用户平时应注意提高防范意识,养成良好的上网习惯,使用腾讯电脑管家拦截并查杀沐吗病毒。5vp免费翻墙网

来自http://www.freebuf.com/news/148625.html5vp免费翻墙网
https://www.easyaq.com/news/1115768779.shtml5vp免费翻墙网

顶一顶请点击右边G+1

分享到:

来顶一下
返回首页
返回首页
欢迎评论:免登录,输入验证码即可匿名评论 共有条评论
用户名: 密码:
验证码: 匿名发表

推荐资讯

Secure VPN – A high speed, ultra secure VPN
Secure VPN – A high
Inf VPN - FREE VPN直接下载链接
Inf VPN - FREE VPN直
Xndroid:基于XX-Net与fqrouter的代理软件
Xndroid:基于XX-Net与
VPN Turbo免费无限流量VPN代理网络加速器
VPN Turbo免费无限流量
相关文章
    无相关信息
栏目更新
栏目热门

翻越防火长城,你可以到达世界上的每一个角落!

Across the Great Firewall, you can reach every corner in the world!

管理员精中特别提醒:本网站域名、主机和管理员都在美国,且本网站内容仅为非中国大陆网友服务。禁止中国大陆网友浏览本站!若中国大陆网友因错误操作打开本站网页,请立即关闭!中国大陆网友浏览本网站存在法律风险,恳请立即关闭本站所有页面!对于您因浏览本站所遭遇的法律问题、安全问题和其他所有问题,本站均无法负责也概不负责。

本站严正声明:各位翻墙的网友切勿将本站介绍的翻墙方法运用于违反当地法律法规的活动,本站对网友的遵纪守法行为表示支持,对网友的违法犯罪行为表示反对!

网站管理员定居美国,因此本站所发的翻墙软件及翻墙方法都未经测试,发布仅供网友测试和参考,但你懂的——翻墙软件或方法随时有可能失效,因此本站信息具有极强时效性,想要更多有效免费翻墙方法敬请阅读本站最新信息,建议收藏本站!本站为纯粹技术网站,支持科学与民主,支持宗教信仰自由,反对恐怖主义、邪教、伪科学与专制,不支持或反对任何极端主义的政治观点或宗教信仰。有注明出处的信息均为转载文章,转载信息仅供参考,并不表明本站支持其观点或行为。未注明出处的信息为本站原创,转载时也请注明来自本站。

鉴于各种免费翻墙软件甚至是收费翻墙软件可能存在的安全风险及个人隐私泄漏可能,本站提醒各位网友做好各方面的安全防护措施!本站无法对提供的翻墙软件、应用或服务等进行全面而严格的安全测试,因此无法对其安全性做保证,无法对您因为安全问题或隐私泄漏等问题造成的任何损失承担任何责任!

650 Castro Street, Suite 120-219 Mountain View, CA, USA, 94041

知识共享许可协议
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。