欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”

de64384a174e12dc2020-06-06212安全报告

概述

近期,金山毒霸平安实验室经由过程“捕风”要挟感知体系的监控数据,追踪发明一款名为“心跳助手”的安卓手游模仿器软件隐藏流量暗刷类病毒。对照迥殊的是,病毒宿主历程被同时嵌入两套流量暗刷插件,经由病毒特性同源性剖析,我们确认这两套木马插件分别是”JsCtrl”和”老成衣”两大暗刷病毒家属的最新变种,正如传说中的”双生花”,一株二艳,并蒂双花,在同一个枝蔓上相生相杀,以是我们将本次发作流传的流量暗刷木马命名为”双生花”家属。

”双生花”暗刷病毒家属包罗的两套插件是完全分歧的完成机制,其晚期变种的流传也没有太多的交叉点。从我们的监控数据看,个中的”JsCtrl”变种经由过程JS剧本下载刷量模块到当地内存加载实行,主要针对目的为58同城、百度糯米、百度的告白推行和SEO排名优化;别的一款“老成衣”变种经由过程多层的内存模块加载开释后,应用内嵌的浏览器内核和松鼠剧本引擎squirrel来操纵加载模仿点击,主要针对目的为爱奇艺、优酷、PPTV等支流视频站点,经由过程暗刷视频播放量从各大视频平台赚取告白内容分红。

两大暗刷木马家属同时藏身”心跳助手”这款一般软件完成”借尸还魂”,固然”双生花”暗刷木马的协作流传内情现在尚不完全清晰,但从某种角度来看,这应当算得上一次变相的软件供应链进击,从” Putty后门事宜”、”XcodeGhost开发工具净化”到”Xshell后门”, 软件供应链进击案例屡见不鲜,官方软件是不是真的可托,正轨软件身份的诟谇界线也愈来愈隐约,以本次”双生花”暗刷病毒家属的流传为例,依据我们的监控数据回溯,本次流传进击从18年4月初最先涌现,晚期变种只包罗”JsCtrl”变种,到1.1.18版本最先到场”老成衣”最新变种。依附正轨软件外壳,隐蔽性极强,经由过程内存加载和剧本机制完成全程无落地文件进击,在海内多家平安软件的眼皮下,本次”双生花”家属的流传进击时候跨度已靠近半年。

别的,”流量暗刷”这类进击行动一向都是黑产流量变现的主要渠道手腕之一,子虚流量也在互联网的各个行业渠道都能看到身影,关于产物贸易、营业平安的迫害影响之重已无需多言。关于产物厂商而言,如许的模仿流量暗刷进击基本上完全模仿了用户的操纵过程,从效劳端停止有用审定辨认异常难题,平安策略会被频仍绕过,从我们的监控数据看,近期针对各大告白平台、资讯平台、视频平台的流量进击愈发众多,我们也异常迎接爱奇艺、优酷、PPTV、58同城、百度糯米等受影响厂商与我们联络(存眷我们的官方微旌旗灯号” yucunsafe”复兴便可),配合处置惩罚此类营业平安问题。

1. 主模块剖析

病毒模块加载和实行流以下图所示:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第1张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第1张

效劳历程Xintiao_Service.exe(署名:Beijing Shouyou Duanxiang TechnologyCo., Ltd.;版本号:1.1.18.4486)以参数“daemon=1”启动将下载解密实行JS剧本,经由过程剧本去下载和实行刷量插件1;以参数“daemon=2”或“module1”启动将下载解密加载刷量插件2(老成衣变种);

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第3张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第3张

2. 刷量插件1

1. Xintiao_Service.exe

以参数daemon=1启动将接见链接hxxp://mnq2.xintiao365.com/tj?timestamp=&id=下载加密的JS剧本并解密实行,在剧本中完成后续模块的下载实行;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第5张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第5张

剧本引擎经由过程MSScriptControl.ScriptControl增加工具模子checkstate,使得剧本能够实行自界说的工具要领。

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第7张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第7张

checkstate的要领界说以下图所示,个中HashCls是挪用CalcHash.dll的导出函数CalcHash解密并内存加载PE模块;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第9张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第9张

2. JS剧本

整顿后的剧本以下:主要功用是检测调试剖析历程,检测不到则上报并下载实行刷量插件;

检测checkstate的全局变量xc和xy挑选加载test_vmok.dll或许phantomjs.exe;个中phantomjs.exe的下载链接是hxxps://c.wecheng99.com/cfg.db,test_vmok.dll的下载链接是hxxps://c.wecheng99.com/ver_cfg.db;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第11张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第11张

下载完成后文件生存到%TEMP%\WinRAR\ac71bf8b-XXX.db(XXX是文件巨细);并挪用checkstate.HashCls进入CalcHash.dll的导出函数HashCls停止解密加载。

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第13张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第13张

剧本实行过程当中会写以下注册表符号:

[HKCU\Software\Microsoft\kccloud]

start:以后时候

ac71bf8b-XXX.db:”123”

[HKCU\Software\Microsoft\Wisp]

cfg:加密后的URL “hxxp://k.biubiang.com:8124/apifour/getlink”

[HKLM\Software\WinRAR]

state:加密后的URL” hxxps://c.wecheng99.com/phantomjs.js”

3. test_vmok.dll

test_vmok.dll在dllmain中接见链接hxxp://k.biubiang.com:8124/apifour/getlink猎取刷量设置装备摆设,内容和花样以下: 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第15张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第15张

个中script是刷量剧本链接,url_list是被刷量的网页链接;经由过程增加参数host_id=%d能够猎取对应的设置装备摆设。然后下载script剧本文件,接见url_list中的链接并在页面中拔出实行script剧本停止刷量。

4. phantomjs.js

phantomjs.exe加载后会读取注册表[HKLM\Software\WinRAR]下的值state,解密失掉链接hxxps://c.wecheng99.com/phantomjs.js;然后下载并实行主控剧本; 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第17张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第17张

loop函数起首接见hxxp://47.105.34.235:8125/apithird/getlink猎取刷量设置装备摆设json数据,然后剖析json并下载刷量剧本;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第19张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第19张

getscript()下载刷量剧本并设置定时器checkkeyword,checkkeyword()剖析关键词并接见刷量目的页面;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第21张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第21张

viewpage先推断TEMP目录下是不是存在uag36.dat,不存在则接见链接hxxp://182.92.228.27/cache.php?f=uag下载然后设置定时器viewpage;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第23张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第23张

若是存在uag36.dat,则解密该文件失掉剧本并实行,内容以下:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第25张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第25张

然后挪用initpage()加载页面,在onLoadFinished()要领中实行刷量剧本;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第27张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第27张

5. 刷量剖析

test_vmok的设置装备摆设链接为hxxp://k.biubiang.com:8124/apifour/getlink,主要刷58同城告白及局部视频告白;phantomjs的设置装备摆设链接为hxxp://47.105.34.235:8125/apithird/getlink,主要刷58同城、百度糯米、百度的搜刮排名优化。

1、经由过程遍历host_id取得test_vmok一切刷量设置装备摆设:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第29张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第29张

一共37个设置装备摆设,24个分歧的刷量剧本链接,url_list大局部是58同城的告白、局部视频播放页;url_list中的链接经由过程HTTP302或window.location.href主动重定向到target_url;也有局部零丁的告白页,刷量剧本实行时猎取跳转链接,跳到目的链接后停止真正的刷量;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第31张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第31张

2、经由过程遍历host_id取得phantomjs一切刷量设置装备摆设:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第33张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第33张

一共67个设置装备摆设,17个分歧的刷量剧本链接,43个分歧的url_list;url_list大局部是58同城房产的挪动端页面、局部是百度糯米挪动端页面;

3、以test_vmok的告白刷量剧本为例:

每一个刷量剧本迥然分歧,后面大局部代码是相反的,如猎取情况信息、禁用局部API、剖析网页iframe猎取链接、点击链接等;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第35张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第35张

主函数主如果设置定时器__baseload,实行中心的刷量功用;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第37张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第37张

__baseload()剖析页面元素,分多个步调设置定时器模仿点击告白完成刷量;每一个步调的详细行动依据目的网页上要刷的告白制订;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第39张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第39张

3. 刷量插件2

1. Xintiao_Service.exe

以参数module1启动将下载hxxp://t.meixinpic.com/cnzz/paras.dat,RC4解密出InProc.dll模块后间接内存加载并挪用导出函数Load进入后续流程;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第41张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第41张

2. InProc.dll

1、 Load函数先停止反调试检测,经由过程检测则继续解密和加载内置dll,不然终了:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第43张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第43张

A.    调试器检测

存在开关文件C:\Wabjtam_yyyy_mm_dd.ya!则不停止检测,yyyy_mm_dd为日期花样;不然罗列历程检测是不是存在以下调试剖析历程;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第45张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第45张

B.虚拟机检测

1.     经由过程MAC地点特性推断Vmware虚拟机;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第47张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第47张

2.     经由过程检测历程vmtoolsd.exe或wmacthlp.exe,推断Vmware虚拟机;

C. IP地点地理位置检测:

依据IP地点猎取地理位置,推断是不是在北京、上海、深圳、珠海四个乡村;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第49张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第49张

2、 经由过程反调试检测后,异或0xAB解密内置InProcStub.dll;建立并挂起傀儡历程svchost.exe,注入InProcStub.dll,挪用其88号导出函数ForkTask;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第51张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第51张

3、 最初建立线程上报数据:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第53张起首接见dh.alyun.cn猎取加密的设置装备摆设链接,解密后以下:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第53张起首接见dh.alyun.cn猎取加密的设置装备摆设链接,解密后以下:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第55张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第55张

并将加密的设置装备摆设链接生存到注册表[HKCU\Software\Microsoft\WindowsScript\Settings\Domains]-[data]下,后续运用该注册表值作为设置装备摆设链接;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第57张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第57张

再查找包罗inproc的设置装备摆设链接,不存在则运用默许链接pz.nidie.net/mm3/up/inproc.php;最初网络本机信息天生以下url上报:

pz.nidie.net/mm3/up/inproc.php?sid=554&d=d940d7b321915b1dc46a69d7b14bafbae611b456678223167a8e0a06ccf6133931c73fa7ca698025aa9e7f6ca60c07f8344b79f90704e7b71ab5d458eee6080709db80a53fcd8dd8f3364f465c8c27;

个中参数d是数据“packid=554&mid=888&sid=88&x64=0&sysver=5.1.2600&mac=00-0C-29-C5-B5-0E&daystat=1”的RC4加密字符串(发送要求加密key= “$GiveMe$”,吸收数据解密key=” GiveMe$!”,下同);

3. InProcStub.dll

1、 InProcStub的导出函数ForkTask先解密内置模块innerfunc.dll,经由过程shellcode加载并挪用其888号导出函数QueryFunctions失掉接口;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第59张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第59张

2、 然后挪用接口的第29个函数,流程进入innerfunc.dll;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第61张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第61张

4. innerfunc.dll

1、 建立线程,接见链接pz.nidie.net/mm2/up/?sid=554&d=d11780e578d3104d83637f;个中参数d是“x64=0&ver=0”RC4加密后的字符串;前往加密的设置装备摆设信息,RC4解密后以下(key=” GiveMe$!”):

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第63张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第63张

2、 剖析前往的设置装备摆设信息,依据体系版本下载对应的近程模块;

3、 RC4解密并加载近程模块remote_stub.dll,并挪用其导出函数:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第65张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第65张

4、 将下载的加密模块写入注册表[HKLM\Software\Tencent\bugReport\QQ\<packid>]-[cache32]生存,下次先读取注册表数据解密加载,失利再从新下载;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第67张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第67张

5. remote_stub.dll

1、 导出函数RemoteModInit起首推断以后历程名是不是为explorer.exe、svchost.exe、test_remote_stub.exe;是则建立线程停止后续行动,不然间接前往;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第69张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第69张

2、 在线程中接见下面链接猎取设置装备摆设:

pz.nidie.net/mm3/up/modup.php?sid=554&d=d940d7b321915b1dc46a69d7b14bafb2f85afb4133d6384a23d1014499bf1e2e64c67ae5922b9b63fddc273be20102f0680428f20704ecea38fbdb51f3880d6966dc94b839dec4fbbf680b620edd79821db7d8eb417671c27ff8aa0f6739a9ab09d0af;

个中参数d是数据“packid=554&mid=0&sid=0&daystat=0&x64=0&sysver=5.1.2600&mac=00-0C-29-C5-B5-0E&loc=XX省XX市”的RC4加密字符串;

前往设置装备摆设数据RC4解密后以下:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第71张3、 依据设置装备摆设下载刷量模块stub和刷量剧本config;而且生存到注册表[HKEY_CURRENT_USER\Software\Tencent\QQ\Mods]下;下次将从注册表中读取,读取失利再从新下载;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第71张3、 依据设置装备摆设下载刷量模块stub和刷量剧本config;而且生存到注册表[HKEY_CURRENT_USER\Software\Tencent\QQ\Mods]下;下次将从注册表中读取,读取失利再从新下载;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第73张4、 stub和config解密后是zip压缩文件,个中stub解压后是刷量模块:autoie32.dll、autoie64.dll;config解压后是.nut花样的剧本文件;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第73张4、 stub和config解密后是zip压缩文件,个中stub解压后是刷量模块:autoie32.dll、autoie64.dll;config解压后是.nut花样的剧本文件;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第75张5、 然后加载autoie32.dll,并挪用导出函数QueryNotifyInterfaceEx取得接口,最初挪用接口实行刷量剧本;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第75张5、 然后加载autoie32.dll,并挪用导出函数QueryNotifyInterfaceEx取得接口,最初挪用接口实行刷量剧本;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第77张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第77张

6. 刷量剖析

刷量模块内置完全的浏览器内核并集成松鼠剧本引擎squirrel 3.1版,(一种相似lua的加强版剧本语言,官网www.squirrel-lang.org);经由过程剧本掌握完成网页告白和视频点击刷量;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第79张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第79张

各剧本功用申明以下:

剧本文件名 主要功用 2124dh.nut 2124导航刷量 2345.nut 2345导航刷量 cnzz.nut cnzz统计 infostream.nut 学问屋刷量 iqiyisite.nut 爱奇艺视频和告白刷量 pptv.nut pptv剧集视频刷量 pptv_site.nut pptv网站自媒体视频刷量 soulady.nut 搜女郎刷量 youku.nut 优酷视频和告白刷量 inproc.nut 无详细功用 outproc.nut 义务掌握剧本 multiproc.nut 多义务掌握剧本

剧本完成了网页事宜回调函数,经由过程设置定时器来剖析网页元素,猎取视频或告白的链接并停止模仿点击接见,完成刷量。

以优酷为例,剧本youku.nut完成了对应的视频刷量机制。针对刷量过程当中接见的各页面都界说了零丁的类来处置惩罚网页事宜.

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第81张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第81张

1、 起首main函数先消灭cookies和缓存数据,再新建entrywindow类,挪用navigate要领接见URL;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第83张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第83张

2、 entrywindow 继续引擎内置浏览器类ieutil.browser,经由过程重载事宜回调捕捉网页事宜并设置定时器模仿点击行动;当挪用navigate加载网页终了时触发onDocumentComplete或onNavigateComplete事宜,设置定时器init;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第85张3、 init定时器要领以下:经由过程剖析网页元素失掉视频的URL,并设置线程定时器visitVideo接见视频播放页停止刷量; 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第85张3、 init定时器要领以下:经由过程剖析网页元素失掉视频的URL,并设置线程定时器visitVideo接见视频播放页停止刷量; 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第87张4、 visitVideo定时器要领以下:新建类youkuwin,挪用navigate要领接见视频URL;并反复设置visitVideo定时器接见同一个视频直到maxVisit次; 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第87张4、 visitVideo定时器要领以下:新建类youkuwin,挪用navigate要领接见视频URL;并反复设置visitVideo定时器接见同一个视频直到maxVisit次; 

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第89张5、 youkuwin异样继续引擎内置浏览器类ieutil.browser;当网页加载终了时触发onDocumentComplete或onNavigateComplete事宜,设置定时器init模仿点击播放页告白;当触发onNewWindow事宜时,挪用adwin类navigate要领接见弹窗告白;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第89张5、 youkuwin异样继续引擎内置浏览器类ieutil.browser;当网页加载终了时触发onDocumentComplete或onNavigateComplete事宜,设置定时器init模仿点击播放页告白;当触发onNewWindow事宜时,挪用adwin类navigate要领接见弹窗告白;

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第91张6、 定时器init又建立2个定时器scroll和toclose;scroll定时器转动网页点击播放视频、停息视频、点击告白完成刷量;toclose则封闭网页终了该视频链接的刷量。

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第91张6、 定时器init又建立2个定时器scroll和toclose;scroll定时器转动网页点击播放视频、停息视频、点击告白完成刷量;toclose则封闭网页终了该视频链接的刷量。

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第93张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第93张

模仿点击的告白以下:

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第95张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第95张

7、针对弹窗告白的adwin类和minshowwindow类的完成和下面相似,不再赘述;

其他网站的刷量机制同理,详细完成细节略有分歧,也不再赘述。

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第97张

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第97张

----------------------------------------------

“心跳助手”暗藏玄机,”双生花”暗刷木马家属“借尸还魂”  安全报告 第99张

最注重品质的韩国直邮美容护肤品--韩都美护淘宝店

----------------------------------------------

7. 刷量链接整顿

优酷

叨剧柴可夫(视频播放数:415万,粉丝数:11.4万,视频数:97)

hxxps://i.youku.com/i/UMTY3MzMxMzUwMA==/videos

PPTV

咖妃说文娱(播放量:3316.8万,粉丝量:1.33万,视频数:72)

hxxp://pgc.pptv.com/upgc/?username=k3CVbpRplmhoY5%2BSZ21jaWlplm9n#video

老烟斗鬼故事hxxp://pgc.pptv.com/upgc/?username=k3CUap1gnG9mZJySZ21ibmpooms%3D#video

叨剧柴可夫

hxxp://pgc.pptv.com/upgc/?username=mm6WbJpik2loYA%3D%3D#video

校长说

hxxp://pgc.pptv.com/upgc/?username=k2iWbZVlmGtoYQ%3D%3D#video

无间密屋

hxxp://v.pptv.com/show/pibDNS7MZiaccqqBA.html?rcc_id=2018052032

开封府

hxxp://v.pptv.com/show/t9TPTJ785iaSHBW0.html?&rcc_id=2018072098

爱奇艺

《闺蜜说》第一季

hxxp://www.iqiyi.com/u/1187952588/v

咖妃说文娱

hxxp://www.iqiyi.com/u/2459940611/v

校长说

hxxp://www.iqiyi.com/u/1458122074/v

蜗牛看西游88

hxxp://www.iqiyi.com/u/1333649153/v

女魔头驾到频道

hxxp://www.iqiyi.com/u/1433074399/v

减脂训练营

hxxp://www.iqiyi.com/u/1446769852/v

快看影戏

hxxp://www.iqiyi.com/u/2023137129/v

家有宝宝视频

hxxp://www.iqiyi.com/u/2492080645/v

欢欣下班狗

hxxp://www.iqiyi.com/u/1231160129/v

星云视点

hxxp://www.iqiyi.com/u/1241481140/v

新快看好书

hxxp://www.iqiyi.com/u/1304751490/v

Friday剑玉俱乐部

hxxp://www.iqiyi.com/u/1351112050/v

其他

搜女郎

hxxp://www.soulady.net/

QQ头像

hxxps://www.qqtouxiang.com

学问屋

hxxp://www.zhishiwu.com

2345导航

hxxp://www.2345.com/?39006

2124导航

hxxp://www.2124.cn

cnzz统计:

hxxp://t.meixinpic.com/cnzz/6.html

统计链接:hxxp://www.cnzz.com/stat/website.php?web_id=1260947146

hxxp://t.meixinpic.com/cnzz/3.html

统计链接:hxxp://www.cnzz.com/stat/website.php?web_id=1261868857

 附录IOC:

136A821EDE570CAC1AAA7E0CEC411EB1

0F7F48867EF568A42DDF5AC646B0E157

8076BC98C013F93B1DCA34901DE8D19E

hxxp://mnq2.xintiao365.com/tj?times**p=&id=

hxxps://c.wecheng99.com/ver_cfg.db

hxxps://c.wecheng99.com/cfg.db

hxxps://c.wecheng99.com/phantomjs.js

hxxp://182.92.228.27/cache.php?f=uag

hxxp://k.biubiang.com:8124/apifour/getlink

hxxp://47.105.34.235:8125/apithird/getlink

hxxp://pz.nidie.net/mm/nv/a/

hxxp://pz.nidie.net/mm/up/

hxxp://pz.nidie.net/mm2/up/

hxxp://pz.nidie.net/mm/fd/

hxxp://pz.nidie.net/mm3/up/modup.php

hxxp://pz.nidie.net/mm2/up/modup.php

hxxp://pz.nidie.net/mm/se.php

hxxp://pz.nidie.net/mm/qd/instat.php

hxxp://pz.nidie.net/mm/brushflow/nv/

hxxp://dh.xhongxiu.net/mm/nv/a/

hxxp://stat.ssbutqi.com/s.php

hxxp://inapi.xxwqiq.net/index.php

hxxp://t.meixinpic.com/cnzz/paras.dat

hxxp://dl.nidie.net/mods/autoie/conf/18081001.png

hxxp://aylld.com/dl/mods/autoie/stub/18071801.png

hxxp://aylld.com/dl/rt/18070501/Rt32.gif

hxxp://aylld.com/dl/rt/18070501/Rt64.gif

 *本文作者:渔村平安,转载请说明来自 FreeBuf.COM

----------------------------------------------

诚信在线影院【www.m10086.com】【www.m10086.com】

各大视频平台VIP电影、连续剧、综艺、动漫等大片免费观看,无需要注册会员,播放没有任何广告,纯公益平台!

网友评论

1条评论
  • 2020-06-06 00:00:24

    Allbet Gamingwww.jinyanlawyer.com欢迎进入欧博平台网站(Allbet Gaming),Allbet Gaming开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博真人游戏(百家乐)等业务。近日最爱