“黑白通吃”的浏览器劫持木马

本贴最后更新于 2328 天前,其中的信息可能已经东海扬尘

一、行为概述


    该病毒运行后会释放并加载多个驱动,驱动加载后会隐藏自身文件,劫持网络并注入dll模块到指定的浏览器和杀软进程,进行浏览器劫持和杀软对抗。这个样本比较有意思的另外一个点在于”黑吃黑”,除了对抗安全软件外,会还对另外一类流行的浏览器劫持木马进行删除。

 

二、病毒母体行为

 

 

1、该样本兼容悬x86和x64为系统,母体根据当前系统版本释放和安装不同的驱动。

 

2、打开\\.\cmdhlp过滤驱动设备,传入以下参数给过滤驱动进行劫持:

 

3、上报:http://api.***.top?softname=yuanjie2345&mac=XX-XX-XX-XX-XX-XX&active=0

 

4、删除自身文件


三、驱动行为分析


1、hwpolicy2.sys

驱动加载后创建Shutdown、CreateProcess、LoadImage系统回调,并hook驱动NTFS.sys的派发函数IRP_MJ_CREATE。通过以上回调和钩子函数来完成dll注入和拦截对抗。

 

IRP_MJ_CREATE钩子函数:拦截浏览器保护模块和其他病毒模块的加载

如果访问的文件路径包含以下字符串,则返回STATUS_ACCESS_DENIED拒绝访问文件。

QMIESafeDll.dll、QMIESafeDll64.dll(腾讯电脑管家主页保护模块)、sesafe.dll(360)、mslmedia、Mslmedia.sys(另一个主页劫持的病毒)

 

Shutdown回调:对抗主页劫持病毒Mslmedia.sys

删除如下注册表项:

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\MslmediaInstance

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Enum

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Security

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia

 

CreateProcess回调:和LoadImage回调配合注入dll到指定进程


如果是创建进程并匹配如下进程名,则保存该进程的PID,在LoadImage回调中注入DLL到该进程。

 

LoadImage回调:

如果当前进程PID是CreateProcess回调得到的PID,则通过APC过程来调用LdrLoadDll函数注入dll到当前进程,该dll会劫持浏览器进程和结束杀软相关进程。

 
 

2、usbehci2.sys

该驱动会创建Tcpip过滤驱动(\\.\cmdhlp)进行网络劫持。应用层由母体或被注入的DLL模块传入配置参数,通过HTTP 302重定向劫持到指定URL。


 

3、WmiAcpi2.sys

该驱动加载后会hook系统SSDT表中的NtQuerySystemInformation、NtReadFile和NtQueryInformationProcess函数,以及FSD的派发函数IRP_MJ_DIRECTORY_CONTROL来隐藏自身文件。

 
 

FSD HOOK函数

Hook设备 \\FileSystem\\Fastfat\\FileSystem\\Ntfs 的IRP_MJ_DIRECTORY_CONTROL派发函数,如果当前有360杀软进程和explorer进程去访问病毒目录(fatherv2)且病毒目录存在则状态返回STATUS_NO_MORE_FILES,以隐藏自身文件。

 

SSDTHOOK函数

如果当前调用模块是360SelfProtection.sys、qutmdrv.sys、360AvFlt.sys、360Box.sys、BAPIDRV.sys,并且返回结果中包含病毒目录(\\fatherv2)则返回失败,隐藏自身文件,防止查杀。

 

四、注入DLL模块分析


主要功能是劫持浏览器、结束杀软进程、更新配置文件和活跃统计上报。


 

1、  如果当前进程为explorer.exe,则执行以下行为:

 

a) 将注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts加1并回写,该值记录启动次数。

 

b) 读取配置文件CSIDL_COMMON_APPDATA\fatherv2\config.ini,初始化Tcpip过滤驱动usbehci2.sys,该驱动根据配置对http封包进行过滤和劫持。目前下载到的配置文件没有太多信息,字段mp为加密的主页url,解密后为http://cdn.mark***.com/2345dh.html

 

2、  拦截安全软件的浏览器保护模块

 

如果当前系统版本不是win8.1:

a) 进程名为iexplore.exe或explorer.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拒绝加载安全软件的浏览器保护模块。

 

b) 进程名为360Safe.exe或360Tray.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拦截360安全卫士的扫描和云查询模块。

 

3、  浏览器劫持

 

a) 如果匹配以下进程名,则添加命令行参数“http://cdn.mark***.com/2345dh.html”启动进程,进行启动页劫持。

 

b) 如果当前进程为QQBrowser.exe,则创建线程,依次查找窗口QQBrowserMainFrameàQQBrowserRebaràQQBrowserAddressBaràQQBrowserCoreRichEdit,发送消息打开http://www.hao123.com/?tn=96006180_hao_pg,劫持启动页。

 

4、  结束杀软进程

 

a) 如果匹配以下进程名,则调用ExitProcess直接退出进程。

 
 

b) 如果匹配以下进程名,则创建线程,先调用Sleep函数睡眠10000毫秒,再调用ExitProcess退出进程。

 
 

5、  访问http://api.***.top/cg/config_01.ini,更新配置文件。

 

6、  访问api.***.top/?softname=yuanjie2345&mac=xx-xx-xx-xx-xx-xx&active=[ts]上报活跃统计,其中[ts]为注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts。



相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Mobi.css

    Mobi.css is a lightweight, flexible CSS framework that focus on mobile.

    1 引用 • 6 回帖 • 765 关注
  • 阿里巴巴

    阿里巴巴网络技术有限公司(简称:阿里巴巴集团)是以曾担任英语教师的马云为首的 18 人,于 1999 年在中国杭州创立,他们相信互联网能够创造公平的竞争环境,让小企业通过创新与科技扩展业务,并在参与国内或全球市场竞争时处于更有利的位置。

    43 引用 • 221 回帖 • 59 关注
  • Telegram

    Telegram 是一个非盈利性、基于云端的即时消息服务。它提供了支持各大操作系统平台的开源的客户端,也提供了很多强大的 APIs 给开发者创建自己的客户端和机器人。

    5 引用 • 35 回帖
  • Vim

    Vim 是类 UNIX 系统文本编辑器 Vi 的加强版本,加入了更多特性来帮助编辑源代码。Vim 的部分增强功能包括文件比较(vimdiff)、语法高亮、全面的帮助系统、本地脚本(Vimscript)和便于选择的可视化模式。

    29 引用 • 66 回帖 • 3 关注
  • 单点登录

    单点登录(Single Sign On)是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

    9 引用 • 25 回帖 • 6 关注
  • 微软

    微软是一家美国跨国科技公司,也是世界 PC 软件开发的先导,由比尔·盖茨与保罗·艾伦创办于 1975 年,公司总部设立在华盛顿州的雷德蒙德(Redmond,邻近西雅图)。以研发、制造、授权和提供广泛的电脑软件服务业务为主。

    8 引用 • 44 回帖
  • JRebel

    JRebel 是一款 Java 虚拟机插件,它使得 Java 程序员能在不进行重部署的情况下,即时看到代码的改变对一个应用程序带来的影响。

    26 引用 • 78 回帖 • 675 关注
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    6 引用 • 26 回帖 • 541 关注
  • 以太坊

    以太坊(Ethereum)并不是一个机构,而是一款能够在区块链上实现智能合约、开源的底层系统。以太坊是一个平台和一种编程语言 Solidity,使开发人员能够建立和发布下一代去中心化应用。 以太坊可以用来编程、分散、担保和交易任何事物:投票、域名、金融交易所、众筹、公司管理、合同和知识产权等等。

    34 引用 • 367 回帖
  • Log4j

    Log4j 是 Apache 开源的一款使用广泛的 Java 日志组件。

    20 引用 • 18 回帖 • 35 关注
  • 链滴

    链滴是一个记录生活的地方。

    记录生活,连接点滴

    180 引用 • 3878 回帖
  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    345 引用 • 754 回帖
  • 创业

    你比 99% 的人都优秀么?

    82 引用 • 1395 回帖
  • 互联网

    互联网(Internet),又称网际网络,或音译因特网、英特网。互联网始于 1969 年美国的阿帕网,是网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。

    98 引用 • 367 回帖
  • 知乎

    知乎是网络问答社区,连接各行各业的用户。用户分享着彼此的知识、经验和见解,为中文互联网源源不断地提供多种多样的信息。

    10 引用 • 66 回帖
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖 • 1 关注
  • 代码片段

    代码片段分为 CSS 与 JS 两种代码,添加在 [设置 - 外观 - 代码片段] 中,这些代码会在思源笔记加载时自动执行,用于改善笔记的样式或功能。

    用户在该标签下分享代码片段时需在帖子标题前添加 [css] [js] 用于区分代码片段类型。

    188 引用 • 1325 回帖
  • Linux

    Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 Unix 的多用户、多任务、支持多线程和多 CPU 的操作系统。它能运行主要的 Unix 工具软件、应用程序和网络协议,并支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。

    954 引用 • 944 回帖
  • 分享

    有什么新发现就分享给大家吧!

    248 引用 • 1794 回帖 • 1 关注
  • FlowUs

    FlowUs.息流 个人及团队的新一代生产力工具。

    让复杂的信息管理更轻松、自由、充满创意。

    1 引用 • 7 关注
  • RESTful

    一种软件架构设计风格而不是标准,提供了一组设计原则和约束条件,主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。

    30 引用 • 114 回帖 • 1 关注
  • Outlook
    1 引用 • 5 回帖 • 5 关注
  • SendCloud

    SendCloud 由搜狐武汉研发中心孵化的项目,是致力于为开发者提供高质量的触发邮件服务的云端邮件发送平台,为开发者提供便利的 API 接口来调用服务,让邮件准确迅速到达用户收件箱并获得强大的追踪数据。

    2 引用 • 8 回帖 • 505 关注
  • WordPress

    WordPress 是一个使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设自己的博客。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 是一个免费的开源项目,在 GNU 通用公共许可证(GPLv2)下授权发布。

    45 引用 • 114 回帖 • 172 关注
  • DevOps

    DevOps(Development 和 Operations 的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。

    59 引用 • 25 回帖
  • ngrok

    ngrok 是一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。

    7 引用 • 63 回帖 • 654 关注
  • sts
    2 引用 • 2 回帖 • 243 关注