深度分析流量劫持木马样本：百度杀毒可拦截

开始爱你了

　　　近日，百度官方声明说率先监测到一款伪装成游戏启动器，与色情游戏打包进行传播的流量劫持型木马，正在迅速蔓延。该木马是通过大量过滤HTTP请求包，实现网页域名的重定向，引诱用户访问黑客推广的ID页面，劫持流量，从而牟取大量的推广费用。
病毒名称：win32.Trojan-Dropper.Agent.jsla
> 病毒类型：Dropper
> 文件MD5：e9e7e331db65aa64d838d6ad5eccf4f7
> 危害等级：中
> 感染系统：windows
> 开发工具：Broland Delphi 7.0
> 加壳类型：无
> 木马描述：该木马通过加载驱动的形式，在Device\TCP设备栈顶附加过滤驱动，当用户访问特定网站时，HTTP请求包流经木马过滤设备，过滤设备对特定网站的HTTP请求包进行重定向，把用户请求重定向到黑客预定的推广链接，从而达到劫持用户请求的目的。
     该木马通常伪装成游戏启动器，通常与一些色情游戏打包在一起进行传播。目前，在网上，这些色情游戏广泛的通过各种论坛、网盘、游戏下载站等渠道进行传播，鱼龙混杂；由于游戏内容的特殊性，此类游戏的下载量一般比较大；我们从网上找到一个捆绑有此类启动器的游戏下载站，从下载站统计数据可知，单个游戏下载量已经达到上千次，保守估计，该木马至少感染了数十万台计算机。下载后解压文件如图所示：



我们可以简单的算一下，一台计算机一天，假设全部是通过推广渠道访问各种搜索页面，如：百度、搜狗、淘宝、京东等等，所有推广流量产生的推广收益是1毛，那一万台机器，一天产生的推广收益将是1000块，在理想情况下，一个月，黑客的推广收益将是3,0000元。这就是流量劫持背后不可告人的秘密。


　　当木马程序运行时，会在当前目录释放gamechk.dll、wvi.dll和svvr.ini文件，在Windows\System32下释放safeini.cfg和dvsrec.ini文件，在Windows\System32\drivers下释放websafe.sys，并将所有文件属性设置为隐藏。这些文件中，动态链接库和配置文件，在用完后会被删除。



　　　gamechk.dll是木马程序其他功能模块的载体；模块被加载以后，首先尝试打开wvi.dll,如果不存在，则在当前目录下创建wvi.dll文件；然后加载wvi.dll,保存wvi.dll导出函数指针并调用wvi.RemoveDriver函数移除原有的驱动对象。



　　　接着，尝试打开System32\drivers下的websafe.sys,若不存在，则释放websafe.sys文件并设置隐藏，只读属性后，调用wvi.InstallDriver函数安装驱动对象。



　　　最后，尝试打开System32\下的safeini.cfg文件，若不存在，则释放出加密后的safeini.cfg文件并设置隐藏属性。


> wvi.dll行为分析
Wvi.dll模块主要功能是加载和卸载驱动模块、检测驱动模块运行情况以及解密和加载驱动配置文件safeini.cfg。LoadConfig函数中，首先会对配置文件进行一次解码，然后在调用zLib库对解码后的文件进行解压。



　　解压成功之后，会在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control中，创建webhj键，其中Search键值，就保存着解压后的配置文件。



　　最后，打开设备，发送配置文件更新命令，使得驱动模块读取最新的配置文件。



> Websafe.sys行为分析
Websafe.sys是一个\Device\Tcp设备过滤驱动，驱动加载之后，会生成一个设备对象，然后附加到\Device\Tcp设备栈顶。


　　附加了\Device\Tcp过滤设备之后，对于应用层传来的HTTP请求包，过滤设备可以先于系统设备拿到HTTP请求包，在设备收到上层控制程序发来的加载配置文件的IO控制指令后，驱动模块会去读取注册表中保存的过滤信息。注册表键值路径为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\webhj\Search。



　　要过滤上层发过来的数据包，主要是在IRP_MJ_INTERNAL_DEVICE_CONTROL（主功能号）下的TDI_SEND（次功能号）处理函数中进行的。上层应用发起一个HTTP请求，最终是通过TCP协议进行打包下发的，所以，附加Device\Tcp设备就可以得到HTTP请求包的内容。
    接下来是过滤驱动如何根据注册表中的配置项对HTTP请求包进行过滤。首先我们来看一下注册表中的配置项内容：


其中，[GET /? HTTP/1.]，就是HTTP请求包的前几个字节，接着是一个通配符

，再接着是Host域名[Host：www.baidu.com]，紧接着又是一个通配符

。从G开始，+128位置的字串，注意开头的字串，[HTTP<http://www.baidu.com]，紧接着又是一个通配符

。从G开始，+128位置的字串，注意开头的字串，HTTP>/1.1 302 Found]，302 Found用于URL重定向用的。
     以下是匹配请求包内容是否符合过滤规则的关键代码：



　　该代码对应函数，输入参数：pAddrBuf，AddrBufLength，pFilterContain；当请求包中的格式与注册表配置项中的格式相符合，返回TRUE。若当前请求包与过滤规则格式相符，则获取该规则对应的数据包内容。


    在HTTP包重定向的过程中，黑客在网址中加入了自己的推广ID，其实就相当于当前的HTTP访问是从黑客的推广页面跳转到这些首页的，这就是一种流量劫持方式。互联网公司会给每一个渠道商分配特定的推广ID，一段时间后，会根据推广ID跳转流量大小，给渠道上一定的推广费用。
用户在正常情况下，直接访问这些首页，是不会有渠道商的推广ID的，这些访问流量对于互联网公司来说是不用付费的；但是通过这种方式劫持以后，用户流量就变为从渠道商推广页面跳转到互联网公司首页的，那么互联网公司就必须为原本是自己的流量付费。这就是一种抢劫行为。
一、首页劫持测试
正常情况下访问百度首页：



被劫持以后，访问百度首页：



> 可以从图中看到，被劫持以后，访问搜索网站首页时，会出现一个推广ID；通常情况下，出现推广ID是表明当前访问是从推广页面跳转过来的，但是实际上，用户并没有访问到渠道商的推广页面，而是直接访问百度首页，但是发出去的HTTP请求被重定向到渠道商的推广页面上，再跳转。神不知，鬼不觉。
二、搜索关键字屏蔽
正常情况下



被木马劫持后


从图中可以看到，正常情况下，我们在输入搜索关键字后，会有相关搜索内容下拉框出现；当用户被劫持后，获取相关搜索内容的HTTP请求包都被重定向为：*Connection: close。所以就获取不到相关的搜索关键字内容。
     三、搜索内容劫持
正常访问


被木马劫持后


从图上可以看到，用户被劫持后，搜索链接网址改变了，而且在搜索结果后多了一个淘宝客的ID，这个ID就是黑客加入的推广ID。
   目前百度杀毒官方表示可成功拦截此木马，在此木马侵入到计算机中，不光是劫持流量这么简单，很可能在网友登陆各大搜索网站时，窃取账号密码等信息，大家平时一定要对游戏网站应提高警惕，色情东西虽诱惑，但是还是要谨慎。

javajsc

确实应该注意

aplk1002

左邊那個不就是漢化啟動主程序麼

W.S.DREAMER

好专业的赶脚

一个笨鸟

websafe.sys，杀无赦啊

星空神话724823

支持一下。收藏了慢慢看。

猪头无双

这文章··· ···真的是LZ自己写的？如果是转帖麻烦换个标签

我来了哦

太专业了～～～～