分析新型恶意加密货币软件—Razy
字数 3387 2025-08-06 08:35:14

Razy恶意加密货币软件分析与防护指南

一、Razy恶意软件概述

Razy是一种针对主流浏览器的恶意软件,主要通过篡改浏览器扩展程序和系统文件来实施加密货币盗窃行为。该恶意软件被卡巴斯基实验室检测为Trojan.Win32.Razy.gen,通过网站广告和伪装成合法软件的文件进行传播。

二、感染机制分析

1. 浏览器兼容性

Razy与以下浏览器"兼容":

  • Google Chrome
  • Mozilla Firefox
  • Yandex浏览器

2. 各浏览器感染方式

Mozilla Firefox

  • 安装名为"Firefox Protection"的恶意扩展(ID: {ab10d63e-3096-4492-ab0e-5edcf4baf988})
  • 修改以下关键文件:
    • %APPDATA%\Mozilla\Firefox\Profiles.default\prefs.js
    • %APPDATA%\Mozilla\Firefox\Profiles.default\extensions.json
    • %PROGRAMFILES%\Mozilla Firefox\omni.js

Yandex浏览器

  • 修改文件:%APPDATA%\Yandex\YandexBrowser\Application\\browser.dll
  • 禁用浏览器更新:
    • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed = 0
  • 安装恶意扩展"Yandex Protect"(ID: acgimceffoceigocablmjdpebeodphgc)

Google Chrome

  • 修改文件:%PROGRAMFILES%\Google\Chrome\Application\\chrome.dll
  • 禁用浏览器更新:
    • 注册表项: 
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\DisableAutoUpdateChecksCheckboxValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\InstallDefault = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\UpdateDefault = 0
  • 修改"Chrome Media Router"扩展:
    • 路径:%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm

三、恶意脚本分析

1. 注入的脚本文件

Razy会添加以下脚本文件:

  • bgs.js - 发送统计信息到Firebase账户
  • extab.js - 注入恶意脚本i.js
  • firebase-app.js, firebase-messaging.js, firebase-messaging-sw.js - 合法Firebase脚本
  • manifest.json - 确保恶意脚本能被调用

2. 主恶意脚本main.js

从以下域名加载:

  • nolkbacteria[.]info/js/main.js?_=
  • 2searea0[.]info/js/main.js?_=
  • touristsila1[.]info/js/main.js?_=
  • solkoptions[.]host/js/main.js?_=

主要功能:

  1. 钱包地址替换

    • 搜索比特币和以太坊钱包地址,替换为攻击者的地址
    • 替换QR码图像指向攻击者钱包

  2. 加密货币交易所修改

    • 访问EXMO交易所时注入:/js/exmo-futures.js?_=
    • 访问YoBit交易所时注入:/js/yobit-futures.js?_=
    • 显示虚假的"新功能"消息,诱骗用户以高价出售加密货币

  3. 搜索引擎结果篡改

    • 修改Google和Yandex搜索结果
    • 针对加密货币相关搜索词添加伪造结果

  4. 特定网站修改

    • 维基百科:添加虚假捐赠请求
    • Telegram.org:显示低价购买Telegram token的虚假信息
    • VKontakte:添加广告内容,重定向到钓鱼网站

四、技术指标(IOCs)

1. 钱包地址

比特币

  • 1BcJZis6Hu2a7mkcrKxRYxXmz6fMpsAN3L
  • 1CZVki6tqgu2t4ACk84voVpnGpQZMAVzWq
  • 3KgyGrCiMRpXTihZWY1yZiXnL46KUBzMEY
  • 1DgjRqs9SwhyuKe8KSMkE1Jjrs59VZhNyj
  • 35muZpFLAQcxjDFDsMrSVPc8WbTxw3TTMC
  • 34pzTteax2EGvrjw3wNMxaPi6misyaWLeJ

以太坊

  • 33a7305aE6B77f3810364e89821E9B22e6a22d43
  • 2571B96E2d75b7EC617Fdd83b9e85370E833b3b1
  • 78f7cb5D4750557656f5220A86Bc4FD2C85Ed9a3

2. 文件哈希

Trojan.Win32.Razy.gen

  • 707CA7A72056E397CA9627948125567A
  • 2C274560900BA355EE9B5D35ABC30EF6
  • BAC320AC63BD289D601441792108A90C
  • 90A83F3B63007D664E6231AA3BC6BD72
  • 66DA07F84661FCB5E659E746B2D7FCCD

Main.js

  • 2C95C42C455C3F6F3BD4DC0853D4CC00
  • 2C22FED85DDA6907EE8A39DD12A230CF

i.js

  • 387CADA4171E705674B9D9B5BF0A859C
  • 67D6CB79955488B709D277DD0B76E6D3

Extab.js

  • 60CB973675C57BDD6B5C5D46EF372475

Bgs.js

  • F9EF0D18B04DC9E2F9BA07495AE1189C

3. 恶意域名

  • gigafilesnote[.]com
  • apiscr[.]com
  • happybizpromo[.]com
  • archivepoisk-zone[.]info
  • archivepoisk[.]info
  • nolkbacteria[.]info
  • 2searea0[.]info
  • touristsila1[.]info
  • touristsworl[.]xyz
  • solkoptions[.]host
  • solkoptions[.]site
  • mirnorea11[.]xyz
  • miroreal[.]xyz
  • anhubnew[.]info
  • kidpassave[.]xyz

4. 钓鱼域名

  • ton-ico[.]network
  • ooo-ooo[.]info

五、防护与清除措施

1. 预防措施

  • 避免从不可信来源下载软件
  • 警惕网站上的可疑广告
  • 定期更新浏览器和操作系统
  • 使用可靠的安全软件

2. 检测方法

  • 检查浏览器是否安装了可疑扩展
  • 检查上述提到的文件和注册表项是否存在异常
  • 监控网络流量是否连接到已知恶意域名

3. 清除步骤

  1. 卸载可疑浏览器扩展

    • Firefox:检查并删除"Firefox Protection"
    • Yandex:检查并删除"Yandex Protect"
    • Chrome:检查并删除"Chrome Media Router"等可疑扩展

  2. 恢复被修改的文件

    • 从原始安装介质恢复chrome.dllbrowser.dll等被修改的文件
    • 删除prefs.jsextensions.json等被修改的配置文件

  3. 修复注册表设置

    • 删除或修改被恶意软件添加的注册表项,恢复浏览器更新功能

  4. 清除恶意脚本

    • 删除bgs.jsextab.js等恶意脚本文件
    • 检查并清理manifest.json文件

  5. 重置浏览器设置

    • 将浏览器重置为默认设置
    • 清除所有缓存和Cookie

  6. 使用安全软件扫描

    • 使用卡巴斯基等安全软件进行全盘扫描
    • 检测并删除HEUR:Trojan.Script.Generic等威胁

六、总结

Razy是一种复杂的恶意软件,专门针对加密货币用户,通过多种技术手段实施攻击。了解其感染机制、行为特征和技术指标对于有效防护至关重要。用户应保持警惕,采取适当的预防措施,并定期检查系统是否存在异常。

Razy恶意加密货币软件分析与防护指南 一、Razy恶意软件概述 Razy是一种针对主流浏览器的恶意软件,主要通过篡改浏览器扩展程序和系统文件来实施加密货币盗窃行为。该恶意软件被卡巴斯基实验室检测为Trojan.Win32.Razy.gen,通过网站广告和伪装成合法软件的文件进行传播。 二、感染机制分析 1. 浏览器兼容性 Razy与以下浏览器"兼容": Google Chrome Mozilla Firefox Yandex浏览器 2. 各浏览器感染方式 Mozilla Firefox 安装名为"Firefox Protection"的恶意扩展(ID: {ab10d63e-3096-4492-ab0e-5edcf4baf988}) 修改以下关键文件: %APPDATA%\Mozilla\Firefox\Profiles.default\prefs.js %APPDATA%\Mozilla\Firefox\Profiles.default\extensions.json %PROGRAMFILES%\Mozilla Firefox\omni.js Yandex浏览器 修改文件: %APPDATA%\Yandex\YandexBrowser\Application\\browser.dll 禁用浏览器更新: 注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed = 0 安装恶意扩展"Yandex Protect"(ID: acgimceffoceigocablmjdpebeodphgc) Google Chrome 修改文件: %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll 禁用浏览器更新: 注册表项: 修改"Chrome Media Router"扩展: 路径: %userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm 三、恶意脚本分析 1. 注入的脚本文件 Razy会添加以下脚本文件: bgs.js - 发送统计信息到Firebase账户 extab.js - 注入恶意脚本 i.js firebase-app.js , firebase-messaging.js , firebase-messaging-sw.js - 合法Firebase脚本 manifest.json - 确保恶意脚本能被调用 2. 主恶意脚本main.js 从以下域名加载: nolkbacteria[.]info/js/main.js?_= 2searea0[.]info/js/main.js?_= touristsila1[.]info/js/main.js?_= solkoptions[.]host/js/main.js?_= 主要功能: 钱包地址替换 : 搜索比特币和以太坊钱包地址,替换为攻击者的地址 替换QR码图像指向攻击者钱包 加密货币交易所修改 : 访问EXMO交易所时注入: /js/exmo-futures.js?_= 访问YoBit交易所时注入: /js/yobit-futures.js?_= 显示虚假的"新功能"消息,诱骗用户以高价出售加密货币 搜索引擎结果篡改 : 修改Google和Yandex搜索结果 针对加密货币相关搜索词添加伪造结果 特定网站修改 : 维基百科:添加虚假捐赠请求 Telegram.org:显示低价购买Telegram token的虚假信息 VKontakte:添加广告内容,重定向到钓鱼网站 四、技术指标(IOCs) 1. 钱包地址 比特币 : 1BcJZis6Hu2a7mkcrKxRYxXmz6fMpsAN3L 1CZVki6tqgu2t4ACk84voVpnGpQZMAVzWq 3KgyGrCiMRpXTihZWY1yZiXnL46KUBzMEY 1DgjRqs9SwhyuKe8KSMkE1Jjrs59VZhNyj 35muZpFLAQcxjDFDsMrSVPc8WbTxw3TTMC 34pzTteax2EGvrjw3wNMxaPi6misyaWLeJ 以太坊 : 33a7305aE6B77f3810364e89821E9B22e6a22d43 2571B96E2d75b7EC617Fdd83b9e85370E833b3b1 78f7cb5D4750557656f5220A86Bc4FD2C85Ed9a3 2. 文件哈希 Trojan.Win32.Razy.gen : 707CA7A72056E397CA9627948125567A 2C274560900BA355EE9B5D35ABC30EF6 BAC320AC63BD289D601441792108A90C 90A83F3B63007D664E6231AA3BC6BD72 66DA07F84661FCB5E659E746B2D7FCCD Main.js : 2C95C42C455C3F6F3BD4DC0853D4CC00 2C22FED85DDA6907EE8A39DD12A230CF i.js : 387CADA4171E705674B9D9B5BF0A859C 67D6CB79955488B709D277DD0B76E6D3 Extab.js : 60CB973675C57BDD6B5C5D46EF372475 Bgs.js : F9EF0D18B04DC9E2F9BA07495AE1189C 3. 恶意域名 gigafilesnote[ . ]com apiscr[ . ]com happybizpromo[ . ]com archivepoisk-zone[ . ]info archivepoisk[ . ]info nolkbacteria[ . ]info 2searea0[ . ]info touristsila1[ . ]info touristsworl[ . ]xyz solkoptions[ . ]host solkoptions[ . ]site mirnorea11[ . ]xyz miroreal[ . ]xyz anhubnew[ . ]info kidpassave[ . ]xyz 4. 钓鱼域名 ton-ico[ . ]network ooo-ooo[ . ]info 五、防护与清除措施 1. 预防措施 避免从不可信来源下载软件 警惕网站上的可疑广告 定期更新浏览器和操作系统 使用可靠的安全软件 2. 检测方法 检查浏览器是否安装了可疑扩展 检查上述提到的文件和注册表项是否存在异常 监控网络流量是否连接到已知恶意域名 3. 清除步骤 卸载可疑浏览器扩展 : Firefox:检查并删除"Firefox Protection" Yandex:检查并删除"Yandex Protect" Chrome:检查并删除"Chrome Media Router"等可疑扩展 恢复被修改的文件 : 从原始安装介质恢复 chrome.dll 、 browser.dll 等被修改的文件 删除 prefs.js 、 extensions.json 等被修改的配置文件 修复注册表设置 : 删除或修改被恶意软件添加的注册表项,恢复浏览器更新功能 清除恶意脚本 : 删除 bgs.js 、 extab.js 等恶意脚本文件 检查并清理 manifest.json 文件 重置浏览器设置 : 将浏览器重置为默认设置 清除所有缓存和Cookie 使用安全软件扫描 : 使用卡巴斯基等安全软件进行全盘扫描 检测并删除HEUR:Trojan.Script.Generic等威胁 六、总结 Razy是一种复杂的恶意软件,专门针对加密货币用户,通过多种技术手段实施攻击。了解其感染机制、行为特征和技术指标对于有效防护至关重要。用户应保持警惕,采取适当的预防措施,并定期检查系统是否存在异常。