最近,360安全中心接到多起網友反饋,稱電腦中所有瀏覽器的主頁都被篡改,而且強制鎖定為http://dh936.com/?00804推廣頁面。據360安全專家分析,這是一款假冒「老毛桃」PE盤製作工具的推廣木馬在惡意作祟。
下載該製作工具后,其捆綁的「凈網管家」軟體會釋放木馬驅動篡改首頁。當發現中招者試圖安裝安全軟體時,還會彈出「阻止安裝」提示,誘導中招者停止安裝。專家進一步分析后發現,該驅動還設置了不少保護措施逃避安全軟體查殺,如禁止自身文件和註冊表的瀏覽和讀取等。
實際上,「老毛桃」早已退出市場多年。目前市面上可見的「老毛桃」工具都是假的,更有不法分子經常打著「老毛桃」的旗號傳播木馬。360現已第一時間攔截查殺該木馬,以下是360安全中心對該木馬的詳細分析:
1下載的安裝包
該木馬網頁利用搜索競價排名在網上擴散,中招者提供的「帶毒」網址如圖:
下載PE后裡面會帶一個
PEINIT,去解壓這個PELOAD.7z文件。解壓出來的PELOAD.BIN文件是一個叫凈網管家的安裝包。
該安裝包文件為:
然後安裝運行後會釋放一個 jw開頭的隨機名驅動。
並且會攔截360安全衛士等軟體安裝。
2 釋放的惡意驅動
2.1 驅動文件信息
該驅動文件簽名信息為:
驅動
2.2 驅動初始化
該驅動文件載入后就向NTFS文件系統發送標記刪除命令。
導致任何訪問對該文件的訪問都會返回STATUS_DELETE_PENDING。
創建GUID 設備名跟應用層交互。
註冊關機回調
關機回調中回寫註冊表文件。
註冊進程回調模塊載入回調 進程回調主要作用為改主頁
並創建系統線程跟伺服器上傳信息 驅動自我更新
註冊註冊表回調保護自身服務項。
2.3 進程回調 修改PEB中進程命令行
獲取進程PEB信息:
判斷是否為瀏覽器進程:
為通配判斷。
判斷父進程
拼接命令行
拼接后網址為
http://dh936.com/?00804
然後追加到進程路徑信息後面, 修改PEB中ProcessParameters進程命令行。
為了使改首頁有效還必須屏蔽網盾模塊,
網盾模塊主要是兩處屏蔽,一處為文件過濾驅動屏蔽,另外一處為進程模塊載入Patch。
2.4 文件過濾驅動
相關函數為:
如果是禁止文件列表, 則直接禁止打開。
匹配成功則返回1
2.5 模塊載入回調
主要是判斷瀏覽器進程
發現如果是網盾模塊載入則Patch入口點。
網盾模塊列表:
Patch代碼
2.6 註冊表回調
主要是防止自身註冊表被訪問,被刪除,被枚舉。
發現刪除為自身項目 直接返回拒絕
枚舉時候檢測是否為自身註冊表 如果是則隱藏。
2.7 系統線程
主要是網路上傳和更新
發送putlog信息:
接受數據包
上傳用戶隱私信息還有安裝殺毒軟體信息。
360安全衛士已支持該木馬查殺,建議各位通過360軟體管家或其他正規渠道下載類似的軟體工具。
*本文作者:360安全衛士;轉載請註明來自 FreeBuf.COM