查看: 6917|回复: 35
收起左侧

[技术原创] “双枪3”卷土重来

[复制链接]
360主动防御
发表于 2018-6-22 14:02:14 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-6-22 14:04 编辑

前言:
最近,从360安全中心接到的用户反馈中,我们发现部分用户反映在他们用某装机光盘安装完系统后,自己浏览器的主页被恶意篡改。用户无论使用什么方法都无法把主页更改为自己需要的,在我们的研究员远程帮助用户提取了相关文件后,我们发现恶意锁定了用户主页的是“双枪”木马的最新变种。

“双枪”木马作案历史由来已久,我们之前也对这种木马病毒做过详细的病毒分析,这种木马的主要行为特点就是先修改用户电脑的MBR和VBR,这相当于给木马穿上“三级甲防弹衣”。在MBR、VBR和恶意驱动的循环感染下,木马极难被彻底清除,稍有不慎就原地复活。针对“双枪”木马的具体行为分析可以参考我们之前的文章:
https://bbs.kafan.cn/thread-2119966-1-1.html

https://bbs.kafan.cn/thread-2120723-1-1.html


“双枪3”分析
驱动文件信息,驱动时间:2018年 6 月13号


图1


驱动文件签名


图2



这次变种的双枪木马与之前的版本一样,都多了两个volmgr.sys驱动


图3


木马拒绝了对Ntfs.sys storport.sys钩子的读取和恢复


图4

与之前相比不同的是,此次的木马版本显著增强了对系统HIVE文件恶意锁定。


图5


最后,用户被篡改并锁定的浏览器主页为


图6


经历了之前与“双枪”木马的斗志斗勇,这次的变种病毒我们也已经搞定,针对“双枪”木马的技术特点,360安全卫士可以自动检测和修复MBR及VBR,同时禁止恶意驱动的加载;进入系统后,只需要利用360安全卫士再次进行扫描查杀就可彻底清除该木马。




虽然木马病毒可以被我们解决,但我们也建议用户不要轻易下载安装来历不明的系统。如果下载后发现电脑出现异常情况可以马上使用安全软件对电脑进行体检和查杀。

pal家族
发表于 2018-6-22 14:11:49 | 显示全部楼层
好的ヽ( ̄▽ ̄)و

额。。。假如中招的用户是rs4系统,ark工具都歇菜了,你们还有内部的工具提取rootkit相关文件吗?
KJD
发表于 2018-6-22 14:18:05 | 显示全部楼层
又是被篡改成2345导航的推广网页
360主动防御
 楼主| 发表于 2018-6-22 14:24:29 | 显示全部楼层
pal家族 发表于 2018-6-22 14:11
好的ヽ( ̄▽ ̄)و

额。。。假如中招的用户是rs4系统,ark工具都歇菜了,你们还有内部的工具提取roo ...

最新的WIN10 17143 ARK 工具都不支持。不过可以到WINPE下提取文件。再厉害的木马WINPE下也没有办法对抗
pal家族
发表于 2018-6-22 14:26:43 | 显示全部楼层
360主动防御 发表于 2018-6-22 14:24
最新的WIN10 17143 ARK 工具都不支持。不过可以到WINPE下提取文件。再厉害的木马WINPE下也没有办法对抗[: ...

那你们这样来一次,指导用户下载-安装-进入pe,还要pe下远程协助
工作人员怕是累死了。。。说不定真言内部秘密工具不告诉我们开玩笑。。。
wowocock
发表于 2018-6-22 14:26:50 | 显示全部楼层
360主动防御 发表于 2018-6-22 14:24
最新的WIN10 17143 ARK 工具都不支持。不过可以到WINPE下提取文件。再厉害的木马WINPE下也没有办法对抗[: ...

是的,随着各种木马对抗的技术升级,WINPE将是最终的解决方案。
wowocock
发表于 2018-6-22 14:29:42 | 显示全部楼层
pal家族 发表于 2018-6-22 14:26
那你们这样来一次,指导用户下载-安装-进入pe,还要pe下远程协助
工作人员怕是累死了。。。说不 ...

我催下PCHUNTER的作者,让他更新下工具,呵呵。

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 小女子这厢有礼了

查看全部评分

pal家族
发表于 2018-6-22 14:33:23 | 显示全部楼层
wowocock 发表于 2018-6-22 14:29
我催下PCHUNTER的作者,让他更新下工具,呵呵。

pchunter的界面来起来比win64ast舒服多了。
驭龙
发表于 2018-6-22 14:33:41 | 显示全部楼层
360主动防御 发表于 2018-6-22 14:24
最新的WIN10 17143 ARK 工具都不支持。不过可以到WINPE下提取文件。再厉害的木马WINPE下也没有办法对抗[: ...

我在想1803上 ARK工具都废了,这种病毒在开启WDSG(开HVCI模式)的系统上真的能运行吗?
wowocock
发表于 2018-6-22 14:35:09 | 显示全部楼层
pal家族 发表于 2018-6-22 14:33
pchunter的界面来起来比win64ast舒服多了。

说的是,我也习惯PCHUNTER了,不过太出名也是问题,比如隐魂系列的BOOTKIT会专门针对他HOOK处理,来隐蔽自身。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 03:06 , Processed in 0.132880 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表