搜索
查看: 3864|回复: 17
收起左侧

[技术原创] Rootkit病毒“独狼2”假冒激活工具传播,锁定23款浏览器主页,已感染上万台电脑

[复制链接]
腾讯电脑管家
发表于 2018-8-15 14:50:18 | 显示全部楼层 |阅读模式
0x1 概述
“独狼”Rootkit系列病毒是一个锁主页的病毒家族,该病毒长期依赖盗版Ghost镜像文件传播,衍生出众多变种。今年6月份,腾讯御见威胁情报中心曾对“独狼”Rootkit后门病毒进行过披露,其通过盗版Ghost系统传播,劫持了包括谷歌,火狐,IE浏览器等在内的23款主流浏览器主页,并且能够干扰主流杀毒软件的正常运行。
腾讯御见威胁情报中心监控发现,“独狼”Rootkit家族变种近期重新拓展了传播渠道,并且各个病毒模块功能都得到进一步改进。主要变化为:
1. Rootkit文件名随机化
2. 所有用到的明文字符串均进行了自定义加密
3. 增加内核调试检测
4. 纯Rootkit驱动劫持首页方式变为内存解密Payload结合浏览器注入实现
5. 增加了完善的自更新功能和后门功能
6. 传播渠道由单一的Ghost盗版系统传播演变为假冒系统激活工具传播
鉴于此,腾讯御见威胁情报中心将此次发现的“独狼”变种命名为“独狼2”病毒,目前监测系统统计到该变种已感染上万台电脑。
御见威胁情报中心曾多次提醒用户不要随意下载使用某些Windows盗版激活工具,这类工具中极易隐藏病毒木马,在这些工具的下载页面,还会诱导、欺骗用户关闭杀毒软件后运行,而这次传播病毒的激活工具根本没有激活Windows的功能。
0×2传播渠道分析
“独狼2”的病毒母体为经过伪装的某激活工具,其在搜索引擎结果页中购买了排名第一的广告位,拥有不容小觑的下载流量。
图片1.png
搜索关键词“激活工具”,在结果页居首个推荐位)
进入激活工具下载站点,可见有多个品牌的激活工具提供下载,看似功能强大,实际上查看页面源代码可知,所有品牌的激活工具下载链接均为同一地址,下载到的文件均为由易语言编写的Dropper木马,名为xiaoma-666.exe程序。
图片2.png
(官网介绍的多款激活工具)
图片3.png
(所有工具链接实际均为同一下载地址)
图片4.png
下载文件均为小马激活666激活程序)
图片5.png
(“独狼2”感染态势分布)
0x3样本分析
Xiaoma-666.exe
Xiaoma-666.exe运行后会释放运行2个文件,一个为浏览器安装包(静默推装牟利),另一个为svchost文件(同样为Dropper木马),负责释放安装Rootkit模块。同时还会检测安全软件进程,并尝试向进程窗口发送WM_QUIT消息。
图片6.png
检测安全软件进程列表
图片7.png
静默安装的浏览器
Svchost.exe 图片8.png
Svchost.exe负责创建安装随机名的Rootkit模块
图片9.png
独狼2---随机名SYS安装成功
Rootkit
与之前发现的“独狼”木马相比,此次Rootkit变种对抗部分基本无变化,主要创建Minifilter文件过滤系统、tdi网络过滤系统、注册表回调来分别进行安全软件文件访问对抗,安全软件部分网络请求拦截,自身注册表保护。不同之处为所有使用到的明文字符串都进行了自定义加密,此部详细分析可阅读《盗版Ghost系统携“独狼”Rootkit来袭》一文
https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ。
图片10.png
模块内解密函数引用237次
图片11.png
KdDebuggerEnabled内核调试检测
图片12.png
代码流程中多处校验判断是否处于调试状态
图片13.png
驱动经内存解密出PE_DLL文件
图片14.png
解密出要注入进程列表
图片15.png
APC注入
Inject-DLL
该模块被注入到浏览器进程后会将感染用户信息上报到www.tj678.top/tongji.php页面,此模块具备了较完善的模块配置自更新,DownLoader后门装载功能,可支持任意功能模块的下发运行。由于注入了浏览器进程,该模块后续所有产生的所有异常行为也更加隐蔽,不易发现。
图片16.png
将感染信息上报到tj678
图片17.png
DownLoader功能代码
图片18.png
自更新代码
劫持主页实现通过退出当前进程,读取外部配置文件获取劫持URL,命令行二次启动浏览器实现。劫持逻辑中会判断当前进程是否为浏览器进程,当前进程父进程是否为桌面管理类进程,如果不满足条件,则不进行劫持流程。
图片19.png
解密判断当前进程是否为劫持进程
图片20.png
解密判断父进程是否异常
图片21.png
带参重启浏览器劫持主页
图片22.png
劫持命令行地址通过读取外部配置文件获取。
运行浏览器后首先劫持到123dh,最终跳转到带推广渠道号的导航站主页。
图片23.png
0x4安全建议
激活工具、Ghost镜像历来都是Rootkit病毒传播的重要渠道,“独狼”Rootkit系列病毒具有隐蔽性强,反复感染,难查杀的特点。建议用户使用正版操作系统,从官方渠道下载激活工具,使用腾讯电脑管家可全面拦截“独狼”系列病毒。不幸中招的用户,可使用电脑管家急救箱功能,彻底查杀Rootkit病毒。
图片24.png
0×5 IOCs
md5
f19a0c61d5a638d3b286b8e2e9477310
d66d79f1a68f83b8ff5285ac1bb975be
f659e6bd46308d06e6df2bf8659fdc2c
e1919b727b78e4c06a5c51a7f580ce31
fa38381c4027882da72391a8503065de
268a0ef76b2c964e883188fe2ca78200
e19bbc1a804349aaf18461a48072e65e
感染信息上报域名
www.tj678.top
参考链接
《盗版Ghost系统携“独狼”Rootkit来袭》一文
https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ


沧桑浪子
发表于 2018-8-15 16:15:18 | 显示全部楼层
你可以出一个无毒的激活工具啊

估计微软不同意
519916277
发表于 2018-8-15 16:57:38 | 显示全部楼层
小马这年头哪有真的,都是加了私货的,去MSDN下系统就没这么多事了
wowocock
发表于 2018-8-15 17:25:52 | 显示全部楼层
简单的说就是根据名字干你,没什么技术,不过很有效。
星夜2014
发表于 2018-8-15 19:39:08 | 显示全部楼层
建议用户使用正版操作系统,从官方渠道下载激活工具

zmyx279323199
头像被屏蔽
发表于 2018-8-15 20:37:14 | 显示全部楼层
tx急救箱都不显示文件路径
独自丶飘零
发表于 2018-8-15 21:28:49 | 显示全部楼层
519916277 发表于 2018-8-15 16:57
小马这年头哪有真的,都是加了私货的,去MSDN下系统就没这么多事了

我还有以前留的
猫饼
发表于 2018-8-16 10:21:18 | 显示全部楼层
小马好像本身就是有问题的
CJYXBABYRUI
头像被屏蔽
发表于 2018-8-16 10:24:37 | 显示全部楼层

我也有一个之前留的珍品
www-tekeze
发表于 2018-8-16 10:40:32 | 显示全部楼层
虽然不喜欢TX,但这个必须支持下!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|纳美地| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-6-21 03:45 , Processed in 0.049727 second(s), 3 queries , MemCache On.

快速回复 返回顶部 返回列表