「異鬼Ⅱ」Bootkit木馬詳細分析

信息安全公益宣傳，信息安全知識啟蒙。

下載站的高速下載器一直是惡意木馬大規模傳播的溫床，前段時間的暗雲Ⅲ木馬通過高速下載器傳播推廣，感染機器數高達數百萬台。近期，騰訊電腦管家又攔截到了一個通過高速下載器大範圍傳播的惡性Bootkit木馬——異鬼Ⅱ，令人吃驚的是這個惡意VBR的植入者，居然是一款比較知名的軟體——甜椒刷機。

正因為開發者是正規的軟體公司，軟體上打了官方的數字簽名，不少安全廠商將其加入白名單中，導致大量機器感染。

◆ 該木馬主要有以下特點：

1. 正規軟體攜帶惡意代碼：異鬼Ⅱ隱藏在正規軟體中，帶有官方數字簽名，導致大量安全廠商直接放行。

2. 影響範圍廣：通過國內幾大知名下載站的高速下載器推廣，並且異鬼Ⅱ能夠兼容xp、win7、win10等主流操作系統，影響數百萬台用戶機器。

3. 雲控、靈活作惡：木馬的VBR感染模塊，以及最終實際作惡的模塊均由雲端下發，作者可任意下發功能模塊到受害者電腦執行任意惡意行為，目前下發的主要是篡改瀏覽器主頁、劫持導航網站、後台刷流量等。

4. 隱蔽性強、頑固性強：通過感染VBR長期駐留在系統中，普通的重裝系統無法清除木馬；異鬼Ⅱ還通過底層磁碟鉤子守護惡意VBR，對抗殺軟查殺。

（更多「異鬼」資料查看http://tav.qq.com/index/newsDetail/255.html）

一、甜椒刷機通過下載器靜默推廣傳播，雲控篡改VBR

近期，甜椒刷機通過各大網站高速下載器瘋狂靜默推廣，該版本的甜椒看似刷機軟體，實則為惡性木馬。異鬼Ⅱ隱藏了能夠拉起雲端惡意代碼的後門，一旦運行，會從雲端下載VBR感染模塊感染電腦VBR，即使用戶重裝系統，也無法清除。

該版本甜椒刷機與官方http://www.onekeyrom.com/index.html最新版版本不同，應該是一個支線版本，但和官網的安裝包用的是同一個數字證書籤名，且木馬使用的C&C伺服器與其官方軟體所用伺服器一致。

1. 安裝包行為

1) 運行后安裝包首先會判斷自身文件名中是否包含「20174」字元，如果包含則開始靜默安裝並在註冊表、互斥量上做標記，準備感染。

創建名為SamRootDetect的互斥量，創建HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FC70EFDD-2741-495C-9A93-42408F6878D9}\un註冊表鍵值。

釋放所有安裝文件到指定目錄后，運行主程序TJShuaji.exe，並Sleep 20秒，TJShuaji.exe啟動後會檢測互斥量，檢測到才進行感染，所以必須在20秒內啟動。

2. TJShuaji.exe行為

1） 檢測是否存在名為SamRootDetect或者OdinDetect的互斥量，或者命令行中是否包含有以上字元串。若是，則設立感染標誌。

2）滿足以上條件，則設立感染標誌。

3）判斷感染標誌，創建線程進行感染行為。

4）在線程中判斷註冊表否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\un鍵值（母體創建），以及是否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex鍵值（感染後會設置，防止重複感染）。

5）滿足以上條件后，訪問以下URL，根據操作系統版本信息等下載數據，

http://bd.705151.com/clientapi/clientreport.ashx?u=%d&pc=%s&os=%d&sid=%d

其中u為註冊表un鍵值，pc為mac、cpuid等硬體信息的hash值，sid寫死為10，os為32或64。

6）提交信息后，伺服器根據上傳的版本信息重定向到不同的URL返回下載結果。

32位：http://npic.shangfx.com/42c/43/6/a07/31a2d803.wav

64位：http://cache.yzrub.com/842/99/bb26/a2087bb.wav

文件下載回來后，解密並用zlib解壓后在內存中載入執行，以下將其稱作installdll.dll

3. installdll.dll行為

該文件pdb路徑與VBR中的木馬PDB路徑一致，可以確定為同一伙人開發。

1）判斷指定進程下是否有甜椒刷機安裝包程序，以確定自己是否為被指定的程序推廣安裝，若否，則退出，不會進行感染。此外，如果註冊表存在\duowan\YYExplorer等路徑，即便沒有找到相關文件也會進行感染。

2）檢測進程列表中的進程名是否包含有smsniff、Wireshark、Dbgview、Procmon、procexp、OLLYDBG、regshot、ProcessHacker、idaq、devenv等字元，有則退出。

3）檢測進程中是否有SbieDll.dll、api_log.dll、dir_watch.dll、SXIn.dll模塊，有則退出。

5） 感染相關的代碼在dll中，木馬會在內存中展開感染模塊並載入執行，以下將其稱為infect.dll，該dll提供兩個導出函數，一個為BkInstall、BkTryWriteDisk，分別對應直接應用層寫磁碟和通過驅動寫磁碟的功能。此外，該dll有兩個版本，分別對應win10操作系統和其他windows操作系統。如果要調用BkTryWriteDisk，則會先釋放驅動到driver目錄下並載入。

4. infect.dll行為

1）BkInstall，該函數直接打開磁碟寫入木馬。

2）BkTryWriteDisk，與\\.\{28F28D04-F525-fd5d-87197-C7A95250BCE2}設備進行通信，將要寫入的內容和地址傳給該設備進行磁碟寫操作。

5. WriteDiskBySys.sys行為

該驅動加了VMP，從其老版本以及pdb信息和應用層的調用方式分析，可知該驅動會創建名為{28F28D04-F525-fd5d-87197-C7A95250BCE2}的設備，供應用層調用，主要實現向指定磁碟位置寫入數據的功能。

二、從VBR進入內核

該惡意的VBR是基於著名的網銀木馬Carberp的泄漏源碼修改而來的，從VBR起一路hook到進入windows內核。

1. VBR行為

由VBR到windows內核的啟動過程見http://tav.qq.com/index/newsDetail/255.html，下圖所示為被感染后的VBR數據。惡意VBR代碼實現解密並載入磁碟尾部的palyload數據到windows內核中得到dump_diskfs.sys並執行。

2. dump_diskfs.sys行為

1）載入的內核驅動不會落地，驅動名字為dump_diskfs.sys。與系統中的幾個正常驅動名字非常相近，並且同樣不會落地，因此具有很大的迷惑性。

2）從playload數據中解壓出一個應用層dll，將其保存到C:\\Windows\\system32\\usbsapi.dll

payload數據：

3）將解壓出來的dll注入usbapi.dll到應用層：註冊LoadImageNotifyRoutine回調，將usbapi.dll注入到explorer.exe，services.exe，spoolsv.exe，注入的方式是在目標進程的導入表中添加usbapi.dll為新的導入項。

4） 向explorer.exe，services.exe，spoolsv.exe注入完成後的清理工作，注入完成後，驅動會刪除LoadImageNotifyRoutine，並且強制刪除usbsapi.dll，同時將正常的usbmon.dll拷貝重命名為usbsapi.dll。此外，驅動還會修改usbsapi.dll的時間屬性為過去的某一固定時間，以迷惑安全分析人員。

5）hook磁碟驅動保護VBR。直接hook了磁碟驅動中的IRP_MJ_INTERNAL_DEVICE_CONTROL派遣函數。對寫VBR區域的操作不做操作，只返回一個錯誤碼。

三、插入到應用層的usbsapi.dll行為

1. usbsapi.dll行為

內存中展開一個dll，並將其載入，以下將其命名為injectdll_mini.dll

2. injectdll_mini.dll行為

injectdll_mini.dll主要實現內存載入。

1）線程1——載入插件：查找指定目錄下的wav文件，提取尾部數據，用zlib解壓出一個PE文件，在內存中展開，三個進程載入的文件路徑不同（文件名根據進程信息計算得來）。

插件保存目錄如下：

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media（services、spoolsv）

C:\Users\{USERNAME}\AppData\Local\Microsoft\Media（explorer）

2）線程2——下載插件：連接C&C，往iqp.sjime.com的upd 8000埠發送包含當前進程信息的數據，接收並解密伺服器返回的數據，從數據中解密提取要下載的url地址，從相關url地址下載wav文件到指定目錄。如果失敗，則6分鐘后嘗試備用域名buu.211360.com，不過當前兩個域名都指向同一ip地址。

分析時，伺服器返回的插件下載地址分別為：（spoolsv大部分不返回數據）

• services.exe （svcdll64.dll）（http://932.kjwkn.com/uploads/wid/201704/1914595972.wav）

• explorer.exe （NewLockWebEx.dll）（http://ju58.tswzsh.com/a26/5e3/f51f/74/8f0a8f6.wav）

下載成功的wav文件會保存到以下目錄。

• C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

• C:\Users\{USERNAME}\AppData\Local\Microsoft\Media

四、惡意插件行為分析

1. explorer.exe （NewLockWebEx.dll）行為

該插件的行為主要是通過修改註冊表、通過修改瀏覽器配置信息、通過修改瀏覽器緩存中的導航網站cookie等方式來實現主頁推廣劫持。

2. services.exe （svcdll64.dll）行為

該插件通過修改host文件、強刪安全軟體配置文件、修改瀏覽器配置文件來實現鎖主頁，此外，會連C&C定時上報信息。

1）載入驅動，強制刪除安全軟體配置文件。

2）修改host文件，用於劫持sougou導航。

3）修改多款瀏覽器的主頁配置信息。

pdb：

4）與C&C進行通信，10分鐘上報一次狀態信息（系統版本，殺軟情況等）。

3. spoolsv.exe （printfll264.dll）行為

該插件下載成功率較低，主要功能是刷流量、後台點廣告、推廣安裝軟體等。

1）printfll264.dll內置兩個模塊(printfll264_1,printfll264_2)會注入到傀儡進程中。

修改註冊表,設置svchost.exe和rundll32.exe進程使用的ie內核版本，後繼會用到這傀儡進程模擬瀏覽器來刷流量。

2）創建一個32位的svchost.exe傀儡進程，將數據段中的printfll264_1注入到該進程中執行，以下我們將該PE文件命名為DevData.exe

DevData.exe的pdb如下：

其功能為點廣告、刷流量。

3）通過UDP連接伺服器，返回刷流量的url列表，然後通過模擬瀏覽器，訪問指定的網站刷流量。

4）發現刷的網站都是一些自媒體的專輯視頻，點擊量很高，但是點贊和評論量為0，明顯是刷出來的訪問量。

刷流量的鏈接： 跳轉到

，中間有一層跳轉，方便了作者統計流量。

五、中毒判斷

1. 檢查電腦以下目錄是否存在.wav文件。

• C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

• C:\Users\用戶名\AppData\Local\Microsoft\Media

2. 檢查是否存在C:\windwos\system32\usbsapi.dll文件。

3. 註冊表存在以下鍵值，說明已感染

HKEY_LOCAL_MACHINE\ Software\Classes\CLSID\{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值：1

六、查殺及安全建議

1. 盡量不要通過下載站下載軟體，如果一定要用到高速下載器，安裝時記得去掉不需要的推薦軟體。

2. 由於該木馬文件有數字簽名，且被大多數安全軟體默認為信任，因此多數安全廠商還無法查殺該木馬。目前電腦管家已經能夠查殺該VBR木馬，發現電腦有異常的用戶可下載電腦管家進行清理。