“黑白通吃”的浏览器劫持木马，毒霸首家查杀

skyboybone

一、行为概述

    该病毒运行后会释放并加载多个驱动，驱动加载后会隐藏自身文件，劫持网络并注入dll模块到指定的浏览器和杀软进程，进行浏览器劫持和杀软对抗。这个样本比较有意思的另外一个点在于”黑吃黑”，除了对抗安全软件外，会还对另外一类流行的浏览器劫持木马进行删除。

二、病毒母体行为

1、  该样本兼容悬x86和x64为系统，母体根据当前系统版本释放和安装不同的驱动。

2、打开\\.\cmdhlp过滤驱动设备，传入以下参数给过滤驱动进行劫持：
  
要匹配的url子串
要劫持到的目标url

click.union.jd.com
http://www.sd***.com/jd.html

www.jd.com
http://www. sd***.com/jd.html

/jdc?d=Y7vQZv
http://www. sd***.com/jd.html

/jdc?d=ZFj2ui
http://www. sd***.com/jd.html

www.vip.com
http://www. sd***.com/vip.html

/gumMra63
http://www. sd***.com/vip.html

www.gome.com.cn
http://www. sd***.com/gome.html

/?cmpid=dh_2345_mz
http://www. sd***.com/gome.html

www.suning.com
http://www. sd***.com/suning.html

/home.htm?utm_source=2345&utm_medium=djh
http://www. sd***.com/suning.html
/?utm_medium=mingzhan&utm_source=2345&utm_campaign=text
http://www. sd***.com/suning.html

www.meilishuo.com
http://www. sd***.com/meilishuo.html

www.mogujie.com
http://www. sd***.com/mogujie.html

3、上报:http://api.***.top?softname=yuanjie2345&mac=XX-XX-XX-XX-XX-XX&active=0

4、删除自身文件

三、驱动行为分析

1、hwpolicy2.sys
驱动加载后创建Shutdown、CreateProcess、LoadImage系统回调，并hook驱动NTFS.sys的派发函数IRP_MJ_CREATE。通过以上回调和钩子函数来完成dll注入和拦截对抗。

IRP_MJ_CREATE钩子函数：拦截浏览器保护模块和其他病毒模块的加载
如果访问的文件路径包含以下字符串，则返回STATUS_ACCESS_DENIED拒绝访问文件。
QMIESafeDll.dll、QMIESafeDll64.dll(腾讯电脑管家主页保护模块)、sesafe.dll(360)、mslmedia、Mslmedia.sys(另一个主页劫持的病毒)

Shutdown回调：对抗主页劫持病毒Mslmedia.sys
删除如下注册表项：
\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\MslmediaInstance
\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances
\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Enum
\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Security
\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia

CreateProcess回调：和LoadImage回调配合注入dll到指定进程

如果是创建进程并匹配如下进程名，则保存该进程的PID，在LoadImage回调中注入DLL到该进程。

LoadImage回调：
如果当前进程PID是CreateProcess回调得到的PID，则通过APC过程来调用LdrLoadDll函数注入dll到当前进程，该dll会劫持浏览器进程和结束杀软相关进程。


2、usbehci2.sys
该驱动会创建Tcpip过滤驱动（\\.\cmdhlp）进行网络劫持。应用层由母体或被注入的DLL模块传入配置参数，通过HTTP 302重定向劫持到指定URL。

3、WmiAcpi2.sys
该驱动加载后会hook系统SSDT表中的NtQuerySystemInformation、NtReadFile和NtQueryInformationProcess函数，以及FSD的派发函数IRP_MJ_DIRECTORY_CONTROL来隐藏自身文件。


FSD HOOK函数
Hook设备 \\FileSystem\\Fastfat和\\FileSystem\\Ntfs 的IRP_MJ_DIRECTORY_CONTROL派发函数，如果当前有360杀软进程和explorer进程去访问病毒目录（fatherv2）且病毒目录存在则状态返回STATUS_NO_MORE_FILES，以隐藏自身文件。

SSDTHOOK函数
如果当前调用模块是360SelfProtection.sys、qutmdrv.sys、360AvFlt.sys、360Box.sys、BAPIDRV.sys，并且返回结果中包含病毒目录（\\fatherv2）则返回失败，隐藏自身文件，防止查杀。

四、注入DLL模块分析

主要功能是劫持浏览器、结束杀软进程、更新配置文件和活跃统计上报。


1、  如果当前进程为explorer.exe，则执行以下行为：

a) 将注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts加1并回写，该值记录启动次数。

b) 读取配置文件CSIDL_COMMON_APPDATA\fatherv2\config.ini，初始化Tcpip过滤驱动usbehci2.sys，该驱动根据配置对http封包进行过滤和劫持。目前下载到的配置文件没有太多信息，字段mp为加密的主页url，解密后为http://cdn.mark***.com/2345dh.html

2、  拦截安全软件的浏览器保护模块

如果当前系统版本不是win8.1：
a) 进程名为iexplore.exe或explorer.exe，则hook LdrLoadDll函数，加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED，拒绝加载安全软件的浏览器保护模块。

b) 进程名为360Safe.exe或360Tray.exe，则hook LdrLoadDll函数，加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED，拦截360安全卫士的扫描和云查询模块。


3、  浏览器劫持

a) 如果匹配以下进程名，则添加命令行参数“http://cdn.mark***.com/2345dh.html”启动进程，进行启动页劫持。

b) 如果当前进程为QQBrowser.exe，则创建线程，依次查找窗口QQBrowserMainFrameàQQBrowserRebaràQQBrowserAddressBaràQQBrowserCoreRichEdit，发送消息打开http://www.hao123.com/?tn=96006180_hao_pg，劫持启动页。


4、  结束杀软进程

a) 如果匹配以下进程名，则调用ExitProcess直接退出进程。

b) 如果匹配以下进程名，则创建线程，先调用Sleep函数睡眠10000毫秒，再调用ExitProcess退出进程。

5、  访问http://api.***.top/cg/config_01.ini，更新配置文件。

6、  访问api.***.top/?softname=yuanjie2345&mac=xx-xx-xx-xx-xx-xx&active=[ts]上报活跃统计，其中[ts]为注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts。

五、结语

    该病毒是典型的浏览器劫持病毒，并运用了大量手段对抗杀软查杀和自保护。建议安装金山毒霸，可实时拦截病毒运行，并支持查杀，保障上网安全。对于已中毒用户，可使用顽固木马专杀工具完美解决。

pal家族

不给哈希。。。没有样本，好没趣~

wowocock

急救箱要改名后运行才行。看了下技术，没什么特色，估计强力模式轻松查杀。所有的技术点都在预料之中。木马的框架本来应该源自于VBR BOOTKIT的，估计知道国人不怕重装系统。都省了。