查看: 4045|回复: 7
收起左侧

[技术原创] 改主页木马的暴力输出:对抗杀软,一言不合断电重启!

[复制链接]
360主动防御
发表于 2018-5-28 19:22:54 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-5-28 19:24 编辑

一:木马概述
360安全中心近期监控到一类主页篡改木马非常活跃,近一周拦截攻击量高达20万余次。该木马通过下载站诱导下载,然后静默释放改主页模块,恶意篡改主页,并在杀软查杀删除其注册表时候,会暴力重启电脑进行对抗。360安全中心将其命名为CEIDPageLock。

二:木马分析
木马来源主要是用户各种下载下载各种软件破解 外{过}{滤}挂等各类工具运行而中招。
该安装包运行后会提示:
1:请确认是否被杀毒软件误删
2:请先退出杀毒软件杀毒软件报毒
安装包文件下载释放到:
%UserProfile%\AppData\Roaming\feitiancb\0226a.exe
然后该进程会下载一个改主页驱动木马:
%UserProfile%\AppData\Local\Temp\somustc.exe
该文件运行后主要是释放驱动,并上传统计信息。
释放驱动:


注册驱动服务:

启动服务:

把中毒电脑的mac地址,主机名上传统计信息

驱动配置文件记录了驱动加载次数, 每次启动的时候会把这个加载次数加1

然后驱动往服务器发送统计信息. 包含了2个服务器地址

统计信息包含了用户的一个mid,这个mid是用户第一次加载驱动的时候根据时间等信息生成的一个随机数,来保证尽量不重复

然后把mid和用户当前系统的系统版本号发送给云端服务器

然后木马继续连接服务器,从云端下载一个exe文件.

把这个exe放到windows\temp目录下面
然后 木马hook了explorer.exe 的ZwClose函数,注入一段恶意代码, 当下一个ZwClose到来的时候就会执行这段shellcode,执行云端下载的exe程序

同时木马注册了minifilter文件过滤,主要是禁止网盾模块加载和隐藏木马自身。

首先禁止了explorer.访问所有网盾模块路径的dll,这样导致网盾模块软无法正常工作。

禁止下面所示的浏览器访问下面文件:

当木马发现某些相关进程访问名称为"*Z_ALL.SYS"的文件时候,就尝试结束当前访问的进程,
同时木马把访问的文件重定向到自身驱动tesmon.sys,这样打开的就是另一个文件, 达到偷梁换柱保护自己的目的
另外木马还禁止访问名为antiirk*.sys的文件

木马为了隐藏自身驱动文件,防止被删除
然后木马每隔3秒扫描下自己的驱动服务是否被删除,如果被删除,就立即暴力重启,达到保护自己服务启动项的作用.

木马同时还联网下载syscc.com/123.ini 文件, 木马解密后得到自己的主页配置信息,从而云控改主页

解密算法为:

最后篡改浏览器主页。


三:安全提醒
建议用户尽量不要下载来历不明的软件,更不要相信木马提示退出安全防护,发现木马预警提示要立即清理。
360安全卫士针对主页被恶意篡改推出了主页修复功能,能有效解决各种主页被篡改问题。



沧桑浪子
发表于 2018-5-28 22:26:30 | 显示全部楼层
前排支持!
wowocock
发表于 2018-5-29 10:00:35 | 显示全部楼层
非常鼓励这样的木马作者,全程无壳无花。
終極小壞蛋
发表于 2018-5-29 13:26:55 | 显示全部楼层
前排支持
www-tekeze
发表于 2018-5-29 15:02:27 | 显示全部楼层
进来支持下,搞锁首的真讨人恨。。    官人,能象火绒一样溯源下么? 应该多曝光啊。。
kuqiao
发表于 2018-5-29 15:08:34 | 显示全部楼层
支持,另外被篡改的主页是什么呢?
360主动防御
 楼主| 发表于 2018-5-29 15:54:39 | 显示全部楼层
kuqiao 发表于 2018-5-29 15:08
支持,另外被篡改的主页是什么呢?

这个木马分析的时候已经没有行为了,是通过云控制修改的,个人怀疑锁定的主页不定
qwe12301
发表于 2018-5-31 13:47:06 | 显示全部楼层
现在的木马动不动云控,溯源难度大大增加
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-19 05:06 , Processed in 0.138729 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表