火绒2345病毒专杀工具是一款十分强大的在线病毒专杀软件，一款能够在电脑上专业解决各种危险软件，专业拦截2345木马，让你的电脑安全保驾护航。火绒2345病毒专杀工具绿色版提供了全新的软件界面，简单又清爽，用户可以在这里一站式使用，专注拦截2345病毒。

火绒2345病毒专杀工具绿色版体积轻巧，功能简单，让用户可以在电脑上轻松体验最简单的使用方式，让你的系统更加安全。

火绒2345病毒专杀工具特色

1.软件是专门为2345木马量身订做，能够彻底清除2345首页篡改木马。

2.下载运行软件，点击开始扫描，软件能够彻底扫描出病毒和木马，并支持删除。

火绒2345病毒专杀工具相关介绍

火绒如何思考终端安全这件事 ？

从PC到移动设备，终端安全事关你我

在互联网飞速发展的今天，终端安全形势也在不断变化

作为新一代安全公司，火绒将始终致力于与您一同应对互联网时代的终端安全挑战

火绒2345病毒专杀工具关于2345病毒介绍

一、概述

4月1日凌晨，火绒安全团队发出警报，部分“2345导航站”首页的弹窗广告携带盗号木马，该病毒会偷取QQ、游戏平台（steam、WeGame）、知名游戏（地下城与勇士、英雄联盟、穿越火线）的账号。这是一次设计精巧、组织周密的大规模盗号行动，利用周末时间突然发起攻击，主要目标是网吧游戏用户。

火绒工程师分析，部分“2345导航站”首页右下角会弹出弹窗广告（上图红色箭头所指），该广告页面一经弹出，即可自动下载病毒，无需用户点击。病毒下载链接自动激活后，首先访问跳板网站“yyakeq.cn”（存放跳板脚本以及flash漏洞），然后再从“ce56b.cn”网站下载病毒，而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播，受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户，如果其Flash控件是以上版本，都会被感染。

安装最新版“火绒安全软件”，即可彻底查杀该病毒。该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息，请阅读后附的详细分析报告。

二、样本分析

近期，火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认，我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞，漏洞代码执行后会从C&C服务器（hxxps:// www.yyakeq.cn）下载执行病毒代码，现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号，再联系其广告内容“高价在线回收所有网游装备/金币”，我们推断此次攻击主要针对对象主要为网络游戏人群，且针对性极强。2345导航站中相关广告内容和相关HTML代码，

从页面代码看，该广告展示代码的植入也非常“奇特”，因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果，该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线，截至本报告撰写时，该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系，

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击，之后再根据浏览器的User Agent加载不同的IE漏洞利用代码（banner.html或cookie.html）。相关代码，

ad.html中的HTML代码中包含有混淆后的JavaScript代码。

ad.html中代码会被先后解密两次，最终得到漏洞调用代码，根据漏洞利用代码的调用逻辑，我们可以粗略确认受影响的Flash版本范围为21.0.0.180 至 31.0.0.160之间。相关代码，

漏洞被触发后，会调用远程HTA脚本会从C&C服务器地址（hxxp://www.ce56b.cn/logo.swf）下载病毒数据到本地进行解密执行，被解密后的病毒数据为下载者病毒。相关进程调用关系，

banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。

漏洞被触发后，最终被下载执行的下载者病毒会根据C&C服务器返回的配置（hxxp://www.ce56b.cn/tj.txt），下载盗号木马到本地进行执行。存在被盗号风险的软件包括：Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置，如下图所示：

图片11.png

下载者病毒配置

腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写，通过伪造游戏登陆界面，欺骗诱导用户输入游戏账号密码，获取到账号密码会发送到远程C&C服务器（hxxp://we.zouxian1.cn）。

英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面，获取用户的游戏账号和密码，并且账号密码也会发送到远程C&C服务器（hxxp://we.zouxian1.cn）。

在盗取Steam游戏平台账号密码 时，首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。

该动态库会安装全局钩子，用于将自身注入到steam进程，当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。

HOOK SteamUI.dll用于截获用户的账号密码。

被盗取的账号，同样也会发送到远程C&C服务器（hxxp://zouxian1.cn）。

三、溯源分析

本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息，下文分块进行溯源分析。

网马溯源

通过对域名yyakeq.cn和ce56b.cn的溯源，发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册，且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名，其中一些域名指向页面包含明显的欺诈内容（如下图所示），所以不排除这些域名是想在未来用作C&C服务的DGA（Dynamic Generation Algorithm）域名。

通过对盗号病毒收集URL的Whois查询，可以得到如下信息：

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查，此人以同样的命名方式于2018年4月20日共注册了15个近似域名：

域名注册反查结果

另外，通过ICP备案查询发现，其中部分域名还经过了ICP个人备案：

ICP备案查询结果

并且同日（2018年4月20日），此人还用同样的QQ邮箱（2659869342@qq.com）和不同的姓名注册了另外两个形式与前述域名相似的域名，如下图所示：

域名注册反查结果