“黑白通吃”的浏览器劫持木马

本贴最后更新于 2321 天前,其中的信息可能已经东海扬尘

一、行为概述


    该病毒运行后会释放并加载多个驱动,驱动加载后会隐藏自身文件,劫持网络并注入dll模块到指定的浏览器和杀软进程,进行浏览器劫持和杀软对抗。这个样本比较有意思的另外一个点在于”黑吃黑”,除了对抗安全软件外,会还对另外一类流行的浏览器劫持木马进行删除。

 

二、病毒母体行为

 

 

1、该样本兼容悬x86和x64为系统,母体根据当前系统版本释放和安装不同的驱动。

 

2、打开\\.\cmdhlp过滤驱动设备,传入以下参数给过滤驱动进行劫持:

 

3、上报:http://api.***.top?softname=yuanjie2345&mac=XX-XX-XX-XX-XX-XX&active=0

 

4、删除自身文件


三、驱动行为分析


1、hwpolicy2.sys

驱动加载后创建Shutdown、CreateProcess、LoadImage系统回调,并hook驱动NTFS.sys的派发函数IRP_MJ_CREATE。通过以上回调和钩子函数来完成dll注入和拦截对抗。

 

IRP_MJ_CREATE钩子函数:拦截浏览器保护模块和其他病毒模块的加载

如果访问的文件路径包含以下字符串,则返回STATUS_ACCESS_DENIED拒绝访问文件。

QMIESafeDll.dll、QMIESafeDll64.dll(腾讯电脑管家主页保护模块)、sesafe.dll(360)、mslmedia、Mslmedia.sys(另一个主页劫持的病毒)

 

Shutdown回调:对抗主页劫持病毒Mslmedia.sys

删除如下注册表项:

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\MslmediaInstance

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Enum

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Security

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia

 

CreateProcess回调:和LoadImage回调配合注入dll到指定进程


如果是创建进程并匹配如下进程名,则保存该进程的PID,在LoadImage回调中注入DLL到该进程。

 

LoadImage回调:

如果当前进程PID是CreateProcess回调得到的PID,则通过APC过程来调用LdrLoadDll函数注入dll到当前进程,该dll会劫持浏览器进程和结束杀软相关进程。

 
 

2、usbehci2.sys

该驱动会创建Tcpip过滤驱动(\\.\cmdhlp)进行网络劫持。应用层由母体或被注入的DLL模块传入配置参数,通过HTTP 302重定向劫持到指定URL。


 

3、WmiAcpi2.sys

该驱动加载后会hook系统SSDT表中的NtQuerySystemInformation、NtReadFile和NtQueryInformationProcess函数,以及FSD的派发函数IRP_MJ_DIRECTORY_CONTROL来隐藏自身文件。

 
 

FSD HOOK函数

Hook设备 \\FileSystem\\Fastfat\\FileSystem\\Ntfs 的IRP_MJ_DIRECTORY_CONTROL派发函数,如果当前有360杀软进程和explorer进程去访问病毒目录(fatherv2)且病毒目录存在则状态返回STATUS_NO_MORE_FILES,以隐藏自身文件。

 

SSDTHOOK函数

如果当前调用模块是360SelfProtection.sys、qutmdrv.sys、360AvFlt.sys、360Box.sys、BAPIDRV.sys,并且返回结果中包含病毒目录(\\fatherv2)则返回失败,隐藏自身文件,防止查杀。

 

四、注入DLL模块分析


主要功能是劫持浏览器、结束杀软进程、更新配置文件和活跃统计上报。


 

1、  如果当前进程为explorer.exe,则执行以下行为:

 

a) 将注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts加1并回写,该值记录启动次数。

 

b) 读取配置文件CSIDL_COMMON_APPDATA\fatherv2\config.ini,初始化Tcpip过滤驱动usbehci2.sys,该驱动根据配置对http封包进行过滤和劫持。目前下载到的配置文件没有太多信息,字段mp为加密的主页url,解密后为http://cdn.mark***.com/2345dh.html

 

2、  拦截安全软件的浏览器保护模块

 

如果当前系统版本不是win8.1:

a) 进程名为iexplore.exe或explorer.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拒绝加载安全软件的浏览器保护模块。

 

b) 进程名为360Safe.exe或360Tray.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拦截360安全卫士的扫描和云查询模块。

 

3、  浏览器劫持

 

a) 如果匹配以下进程名,则添加命令行参数“http://cdn.mark***.com/2345dh.html”启动进程,进行启动页劫持。

 

b) 如果当前进程为QQBrowser.exe,则创建线程,依次查找窗口QQBrowserMainFrameàQQBrowserRebaràQQBrowserAddressBaràQQBrowserCoreRichEdit,发送消息打开http://www.hao123.com/?tn=96006180_hao_pg,劫持启动页。

 

4、  结束杀软进程

 

a) 如果匹配以下进程名,则调用ExitProcess直接退出进程。

 
 

b) 如果匹配以下进程名,则创建线程,先调用Sleep函数睡眠10000毫秒,再调用ExitProcess退出进程。

 
 

5、  访问http://api.***.top/cg/config_01.ini,更新配置文件。

 

6、  访问api.***.top/?softname=yuanjie2345&mac=xx-xx-xx-xx-xx-xx&active=[ts]上报活跃统计,其中[ts]为注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts。



相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Wide

    Wide 是一款基于 Web 的 Go 语言 IDE。通过浏览器就可以进行 Go 开发,并有代码自动完成、查看表达式、编译反馈、Lint、实时结果输出等功能。

    欢迎访问我们运维的实例: https://wide.b3log.org

    30 引用 • 218 回帖 • 639 关注
  • flomo

    flomo 是新一代 「卡片笔记」 ,专注在碎片化时代,促进你的记录,帮你积累更多知识资产。

    6 引用 • 143 回帖 • 1 关注
  • 锤子科技

    锤子科技(Smartisan)成立于 2012 年 5 月,是一家制造移动互联网终端设备的公司,公司的使命是用完美主义的工匠精神,打造用户体验一流的数码消费类产品(智能手机为主),改善人们的生活质量。

    4 引用 • 31 回帖
  • Linux

    Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 Unix 的多用户、多任务、支持多线程和多 CPU 的操作系统。它能运行主要的 Unix 工具软件、应用程序和网络协议,并支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。

    954 引用 • 944 回帖 • 1 关注
  • ngrok

    ngrok 是一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。

    7 引用 • 63 回帖 • 655 关注
  • ReactiveX

    ReactiveX 是一个专注于异步编程与控制可观察数据(或者事件)流的 API。它组合了观察者模式,迭代器模式和函数式编程的优秀思想。

    1 引用 • 2 回帖 • 182 关注
  • Mac

    Mac 是苹果公司自 1984 年起以“Macintosh”开始开发的个人消费型计算机,如:iMac、Mac mini、Macbook Air、Macbook Pro、Macbook、Mac Pro 等计算机。

    167 引用 • 597 回帖
  • WiFiDog

    WiFiDog 是一套开源的无线热点认证管理工具,主要功能包括:位置相关的内容递送;用户认证和授权;集中式网络监控。

    1 引用 • 7 回帖 • 612 关注
  • RYMCU

    RYMCU 致力于打造一个即严谨又活泼、专业又不失有趣,为数百万人服务的开源嵌入式知识学习交流平台。

    4 引用 • 6 回帖 • 58 关注
  • OpenStack

    OpenStack 是一个云操作系统,通过数据中心可控制大型的计算、存储、网络等资源池。所有的管理通过前端界面管理员就可以完成,同样也可以通过 Web 接口让最终用户部署资源。

    10 引用 • 1 关注
  • 反馈

    Communication channel for makers and users.

    120 引用 • 906 回帖 • 279 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 118 关注
  • HTML

    HTML5 是 HTML 下一个的主要修订版本,现在仍处于发展阶段。广义论及 HTML5 时,实际指的是包括 HTML、CSS 和 JavaScript 在内的一套技术组合。

    108 引用 • 295 回帖 • 2 关注
  • PWL

    组织简介

    用爱发电 (Programming With Love) 是一个以开源精神为核心的民间开源爱好者技术组织,“用爱发电”象征开源与贡献精神,加入组织,代表你将遵守组织的“个人开源爱好者”的各项条款。申请加入:用爱发电组织邀请帖
    用爱发电组织官网:https://programmingwithlove.stackoverflow.wiki/

    用爱发电组织的核心驱动力:

    • 遵守开源守则,体现开源&贡献精神:以分享为目的,拒绝非法牟利。
    • 自我保护:使用适当的 License 保护自己的原创作品。
    • 尊重他人:不以各种理由、各种漏洞进行未经允许的抄袭、散播、洩露;以礼相待,尊重所有对社区做出贡献的开发者;通过他人的分享习得知识,要留下足迹,表示感谢。
    • 热爱编程、热爱学习:加入组织,热爱编程是首当其要的。我们欢迎热爱讨论、分享、提问的朋友,也同样欢迎默默成就的朋友。
    • 倾听:正确并恳切对待、处理问题与建议,及时修复开源项目的 Bug ,及时与反馈者沟通。不抬杠、不无视、不辱骂。
    • 平视:不诋毁、轻视、嘲讽其他开发者,主动提出建议、施以帮助,以和谐为本。只要他人肯努力,你也可能会被昔日小看的人所超越,所以请保持谦虚。
    • 乐观且活跃:你的努力决定了你的高度。不要放弃,多年后回头俯瞰,才会发现自己已经成就往日所仰望的水平。积极地将项目开源,帮助他人学习、改进,自己也会获得相应的提升、成就与成就感。
    1 引用 • 487 回帖 • 1 关注
  • CSDN

    CSDN (Chinese Software Developer Network) 创立于 1999 年,是中国的 IT 社区和服务平台,为中国的软件开发者和 IT 从业者提供知识传播、职业发展、软件开发等全生命周期服务,满足他们在职业发展中学习及共享知识和信息、建立职业发展社交圈、通过软件开发实现技术商业化等刚性需求。

    14 引用 • 155 回帖
  • 书籍

    宋真宗赵恒曾经说过:“书中自有黄金屋,书中自有颜如玉。”

    80 引用 • 396 回帖
  • 架构

    我们平时所说的“架构”主要是指软件架构,这是有关软件整体结构与组件的抽象描述,用于指导软件系统各个方面的设计。另外还有“业务架构”、“网络架构”、“硬件架构”等细分领域。

    142 引用 • 442 回帖
  • Dubbo

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是 [阿里巴巴] SOA 服务化治理方案的核心框架,每天为 2,000+ 个服务提供 3,000,000,000+ 次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点。

    60 引用 • 82 回帖 • 613 关注
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 795 关注
  • PWA

    PWA(Progressive Web App)是 Google 在 2015 年提出、2016 年 6 月开始推广的项目。它结合了一系列现代 Web 技术,在网页应用中实现和原生应用相近的用户体验。

    14 引用 • 69 回帖 • 183 关注
  • 30Seconds

    📙 前端知识精选集,包含 HTML、CSS、JavaScript、React、Node、安全等方面,每天仅需 30 秒。

    • 精选常见面试题,帮助您准备下一次面试
    • 精选常见交互,帮助您拥有简洁酷炫的站点
    • 精选有用的 React 片段,帮助你获取最佳实践
    • 精选常见代码集,帮助您提高打码效率
    • 整理前端界的最新资讯,邀您一同探索新世界
    488 引用 • 384 回帖 • 4 关注
  • 学习

    “梦想从学习开始,事业从实践起步” —— 习近平

    172 引用 • 534 回帖
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖 • 2 关注
  • C

    C 语言是一门通用计算机编程语言,应用广泛。C 语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。

    86 引用 • 165 回帖
  • HHKB

    HHKB 是富士通的 Happy Hacking 系列电容键盘。电容键盘即无接点静电电容式键盘(Capacitive Keyboard)。

    5 引用 • 74 回帖 • 518 关注
  • 安装

    你若安好,便是晴天。

    132 引用 • 1184 回帖 • 1 关注
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    6 引用 • 26 回帖 • 542 关注