本帖最后由 360主动防御 于 2018-5-28 19:24 编辑
一:木马概述 360安全中心近期监控到一类主页篡改木马非常活跃,近一周拦截攻击量高达20万余次。该木马通过下载站诱导下载,然后静默释放改主页模块,恶意篡改主页,并在杀软查杀删除其注册表时候,会暴力重启电脑进行对抗。360安全中心将其命名为CEIDPageLock。
二:木马分析 木马来源主要是用户各种下载下载各种软件破解 外{过}{滤}挂等各类工具运行而中招。 该安装包运行后会提示: 1:请确认是否被杀毒软件误删 2:请先退出杀毒软件杀毒软件报毒 安装包文件下载释放到: %UserProfile%\AppData\Roaming\feitiancb\0226a.exe 然后该进程会下载一个改主页驱动木马: %UserProfile%\AppData\Local\Temp\somustc.exe 该文件运行后主要是释放驱动,并上传统计信息。 释放驱动:
注册驱动服务: 启动服务: 把中毒电脑的mac地址,主机名上传统计信息
驱动配置文件记录了驱动加载次数, 每次启动的时候会把这个加载次数加1
然后驱动往服务器发送统计信息. 包含了2个服务器地址
统计信息包含了用户的一个mid,这个mid是用户第一次加载驱动的时候根据时间等信息生成的一个随机数,来保证尽量不重复
然后把mid和用户当前系统的系统版本号发送给云端服务器
然后木马继续连接服务器,从云端下载一个exe文件.
把这个exe放到windows\temp目录下面 然后 木马hook了explorer.exe 的ZwClose函数,注入一段恶意代码, 当下一个ZwClose到来的时候就会执行这段shellcode,执行云端下载的exe程序
同时木马注册了minifilter文件过滤,主要是禁止网盾模块加载和隐藏木马自身。
首先禁止了explorer.访问所有网盾模块路径的dll,这样导致网盾模块软无法正常工作。
禁止下面所示的浏览器访问下面文件:
当木马发现某些相关进程访问名称为"*Z_ALL.SYS"的文件时候,就尝试结束当前访问的进程, 同时木马把访问的文件重定向到自身驱动tesmon.sys,这样打开的就是另一个文件, 达到偷梁换柱保护自己的目的 另外木马还禁止访问名为antiirk*.sys的文件
木马为了隐藏自身驱动文件,防止被删除 然后木马每隔3秒扫描下自己的驱动服务是否被删除,如果被删除,就立即暴力重启,达到保护自己服务启动项的作用.
木马同时还联网下载syscc.com/123.ini 文件, 木马解密后得到自己的主页配置信息,从而云控改主页
解密算法为:
最后篡改浏览器主页。
三:安全提醒 建议用户尽量不要下载来历不明的软件,更不要相信木马提示退出安全防护,发现木马预警提示要立即清理。 360安全卫士针对主页被恶意篡改推出了主页修复功能,能有效解决各种主页被篡改问题。
| 
发表于 2018-5-28 19:22:54
官人,能象火绒一样溯源下么? 应该多曝光啊。。
楼主
