360搜索引擎优化(360安全中心接到主页被篡改，原因是这样的！)

　　360搜索引擎优化(360安全中心接到主页被篡改，原因是这样的！)

　　近日，360安全中心收到了大量用户反馈。电脑浏览器主页被篡改，必应搜索莫名跳到百度页面等现象。经过我们的分析，我们发现它感染了 Netfilter 病毒的新变种。

　　通过溯源，发现该病毒伪装成KMSpico激活工具在下载站点进行传播。感染用户机器后，会篡改各大浏览器的配置文件，从而实现首页锁定和默认搜索引擎劫持的病毒逻辑，释放病毒驱动。为达到Bing等人进行流量劫持的目的。网站。

　　传播途径

　　病毒作者通过NSIS将KMSpico激活工具、病毒驱动程序和各种配置文件重新打包，发布到win7家庭下载站进行传播。下载站的下载页面，如下图：

　　KMSpico.exe详细解析

　　原创病毒文件为NSIS安装包，安装包目录如下图所示：

　　运行后会先查明主流杀毒软件的进程是否存在，如果存在，会提示用户退出杀毒软件，防止杀毒软件被查杀。病毒驱动程序被释放。如果没有杀毒软件进程，会调用7zip的主进程解压kms.dat文件并执行其中的kms.exe。解压密码为“aabbccdd”。检测到的杀毒软件进程列表，如下图：

　　该病毒的执行逻辑如下图所示：

　　kms.exe也是NSIS的安装包，里面收录了原版的KMSpico激活工具、病毒驱动以及各大主流浏览器的配置文件。安装包目录如下图所示：

　　收录以下浏览器的配置文件：

　　病毒会首先根据当前用户机器的MachineGuid生成病毒驱动程序名称，并选择相应操作系统位的病毒驱动程序进行加载，然后篡改2345王牌浏览器和QQ浏览器的首页设置，并使用病毒作者自定义的浏览器配置文件替换当前用户的浏览器配置文件。执行过程如下图所示：

　　病毒作者通过自定义的浏览器配置文件劫持用户的浏览器主页、搜索引擎、采集夹等位置。部分配置文件如下图所示：

　　· 劫持主页

　　火狐浏览器：

　　Chrome系列浏览器：

　　浏览器首页被篡改为hxxp://，访问这个网站会重定向到下图网站刷病毒作者。

　　· 搜索引擎

　　火狐浏览器：

　　Chrome系列浏览器：

　　当用户使用默认搜索时，篡改默认搜索引擎的设置会增加病毒作者的推广数量。