近日,腾讯电脑管家接到山东网友反馈,电脑出现无法成功锁定浏览器主页等现象。经分析,是其机器中谷歌浏览器目录下的DLL文件chrome_elf.dll被劫持替换导致。此外,腾讯电脑管家旗下的安全感知系统也发现,近期多款知名软件安装包都曾发生类似的情况,受影响用户的地域分布高度集中,80%在山东省,主要集中在临沂、济南两市,并且88%皆为某运营商用户。腾讯电脑管家初步断定这是一起典型的运营商流量劫持事件。
图1.中招用户地域分布图
上述网友在谷歌官方网站下载谷歌浏览器时,安装包下载链接被劫持到https://wb.xxxx/?id=xx,此时用户下载到的根本已经不是正常的谷歌浏览器安装包了,而是恶意软件精心构造伪装的”谷歌浏览器安装包”。被恶意伪装的安装包和正常的安装包有明显的区别,用户在安装谷歌浏览器时稍加留意,可轻而易举地分辨出二者的不同处。
图2. 正常安装包安装界面
图3 .恶意伪装安装包安装界面
被劫持的安装包在安装完成后,可以发现正常的DLL文件chrome_elf.dll被重命名为chrome_elf.bak,但其原始文件名实际上是chrome_elf.dll并且有正常的数字签名信息。而”正常的”chrome_elf.dll却没有数字签名,该文件实际上是被劫持替换的伪装木马文件。使用谷歌浏览器的用户可通过自行查看chrome_elf.dll文件属性信息判定是否中招。
图4. DLL文件被劫持替换流程图
图5. 腾讯电脑管家修复图
此次运营商流量劫持事件,除了谷歌浏览器,还有西瓜影音等多款软件安装包受影响。腾讯电脑管家一经发现立即同步给相关厂商进行修复。不幸中招的网友可通过下载腾讯电脑管家,打开闪电杀毒界面进行查杀修复。