Zi 字媒體

最近，360安全中心接到多起網友反饋，稱電腦中所有瀏覽器的主頁都被篡改，而且強制鎖定為http://dh936.com/?00804推廣頁面。據360安全專家分析，這是一款假冒「老毛桃」PE盤製作工具的推廣木馬在惡意作祟。下載該製作工具后，其捆綁的「凈網管家」軟體會釋放木馬驅動篡改首頁。當發現中招者試圖安裝安全軟體時，還會彈出「阻止安裝」提示，誘導中招者停止安裝。專家進一步分析后發現，該驅動還設置了不少保護措施逃避安全軟體查殺，如禁止自身文件和註冊表的瀏覽和讀取等。實際上，「老毛桃」早已退出市場多年。目前市面上可見的「老毛桃」工具都是假的，更有不法分子經常打著「老毛桃」的旗號傳播木馬。360現已第一時間攔截查殺該木馬，以下是360安全中心對該木馬的詳細分析：1下載的安裝包該木馬網頁利用搜索競價排名在網上擴散，中招者提供的「帶毒」網址如圖：下載PE后裡面會帶一個PEINIT，去解壓這個PELOAD.7z文件。解壓出來的PELOAD.BIN文件是一個叫凈網管家的安裝包。該安裝包文件為：然後安裝運行後會釋放一個 jw開頭的隨機名驅動。 並且會攔截360安全衛士等軟體安裝。 2 釋放的惡意驅動2.1 驅動文件信息 該驅動文件簽名信息為：驅動2.2 驅動初始化該驅動文件載入后就向NTFS文件系統發送標記刪除命令。導致任何訪問對該文件的訪問都會返回STATUS_DELETE_PENDING。 創建GUID 設備名跟應用層交互。註冊關機回調關機回調中回寫註冊表文件。註冊進程回調模塊載入回調 進程回調主要作用為改主頁 並創建系統線程跟伺服器上傳信息 驅動自我更新註冊註冊表回調保護自身服務項。 2.3 進程回調 修改PEB中進程命令行獲取進程PEB信息： 判斷是否為瀏覽器進程： 為通配判斷。 判斷父進程 拼接命令行 拼接后網址為http://dh936.com/?00804然後追加到進程路徑信息後面， 修改PEB中ProcessParameters進程命令行。為了使改首頁有效還必須屏蔽網盾模塊，網盾模塊主要是兩處屏蔽，一處為文件過濾驅動屏蔽，另外一處為進程模塊載入Patch。2.4 文件過濾驅動相關函數為： 如果是禁止文件列表， 則直接禁止打開。 匹配成功則返回1 2.5 模塊載入回調主要是判斷瀏覽器進程發現如果是網盾模塊載入則Patch入口點。網盾模塊列表：Patch代碼 2.6 註冊表回調主要是防止自身註冊表被訪問,被刪除,被枚舉。發現刪除為自身項目 直接返回拒絕 枚舉時候檢測是否為自身註冊表 如果是則隱藏。 2.7 系統線程主要是網路上傳和更新發送putlog信息：接受數據包 上傳用戶隱私信息還有安裝殺毒軟體信息。 360安全衛士已支持該木馬查殺，建議各位通過360軟體管家或其他正規渠道下載類似的軟體工具。*本文作者：360安全衛士；轉載請註明來自 FreeBuf.COM