“黑白通吃”的浏览器劫持木马

本贴最后更新于 1877 天前,其中的信息可能已经东海扬尘

一、行为概述


    该病毒运行后会释放并加载多个驱动,驱动加载后会隐藏自身文件,劫持网络并注入dll模块到指定的浏览器和杀软进程,进行浏览器劫持和杀软对抗。这个样本比较有意思的另外一个点在于”黑吃黑”,除了对抗安全软件外,会还对另外一类流行的浏览器劫持木马进行删除。

 

二、病毒母体行为

 

 

1、该样本兼容悬x86和x64为系统,母体根据当前系统版本释放和安装不同的驱动。

 

2、打开\\.\cmdhlp过滤驱动设备,传入以下参数给过滤驱动进行劫持:

 

3、上报:http://api.***.top?softname=yuanjie2345&mac=XX-XX-XX-XX-XX-XX&active=0

 

4、删除自身文件


三、驱动行为分析


1、hwpolicy2.sys

驱动加载后创建Shutdown、CreateProcess、LoadImage系统回调,并hook驱动NTFS.sys的派发函数IRP_MJ_CREATE。通过以上回调和钩子函数来完成dll注入和拦截对抗。

 

IRP_MJ_CREATE钩子函数:拦截浏览器保护模块和其他病毒模块的加载

如果访问的文件路径包含以下字符串,则返回STATUS_ACCESS_DENIED拒绝访问文件。

QMIESafeDll.dll、QMIESafeDll64.dll(腾讯电脑管家主页保护模块)、sesafe.dll(360)、mslmedia、Mslmedia.sys(另一个主页劫持的病毒)

 

Shutdown回调:对抗主页劫持病毒Mslmedia.sys

删除如下注册表项:

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances\\MslmediaInstance

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Instances

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Enum

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia\\Security

\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\services\\Mslmedia

 

CreateProcess回调:和LoadImage回调配合注入dll到指定进程


如果是创建进程并匹配如下进程名,则保存该进程的PID,在LoadImage回调中注入DLL到该进程。

 

LoadImage回调:

如果当前进程PID是CreateProcess回调得到的PID,则通过APC过程来调用LdrLoadDll函数注入dll到当前进程,该dll会劫持浏览器进程和结束杀软相关进程。

 
 

2、usbehci2.sys

该驱动会创建Tcpip过滤驱动(\\.\cmdhlp)进行网络劫持。应用层由母体或被注入的DLL模块传入配置参数,通过HTTP 302重定向劫持到指定URL。


 

3、WmiAcpi2.sys

该驱动加载后会hook系统SSDT表中的NtQuerySystemInformation、NtReadFile和NtQueryInformationProcess函数,以及FSD的派发函数IRP_MJ_DIRECTORY_CONTROL来隐藏自身文件。

 
 

FSD HOOK函数

Hook设备 \\FileSystem\\Fastfat\\FileSystem\\Ntfs 的IRP_MJ_DIRECTORY_CONTROL派发函数,如果当前有360杀软进程和explorer进程去访问病毒目录(fatherv2)且病毒目录存在则状态返回STATUS_NO_MORE_FILES,以隐藏自身文件。

 

SSDTHOOK函数

如果当前调用模块是360SelfProtection.sys、qutmdrv.sys、360AvFlt.sys、360Box.sys、BAPIDRV.sys,并且返回结果中包含病毒目录(\\fatherv2)则返回失败,隐藏自身文件,防止查杀。

 

四、注入DLL模块分析


主要功能是劫持浏览器、结束杀软进程、更新配置文件和活跃统计上报。


 

1、  如果当前进程为explorer.exe,则执行以下行为:

 

a) 将注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts加1并回写,该值记录启动次数。

 

b) 读取配置文件CSIDL_COMMON_APPDATA\fatherv2\config.ini,初始化Tcpip过滤驱动usbehci2.sys,该驱动根据配置对http封包进行过滤和劫持。目前下载到的配置文件没有太多信息,字段mp为加密的主页url,解密后为http://cdn.mark***.com/2345dh.html

 

2、  拦截安全软件的浏览器保护模块

 

如果当前系统版本不是win8.1:

a) 进程名为iexplore.exe或explorer.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拒绝加载安全软件的浏览器保护模块。

 

b) 进程名为360Safe.exe或360Tray.exe,则hook LdrLoadDll函数,加载模块路径包含如下字符串则直接返回STATUS_ACCESS_DENIED,拦截360安全卫士的扫描和云查询模块。

 

3、  浏览器劫持

 

a) 如果匹配以下进程名,则添加命令行参数“http://cdn.mark***.com/2345dh.html”启动进程,进行启动页劫持。

 

b) 如果当前进程为QQBrowser.exe,则创建线程,依次查找窗口QQBrowserMainFrameàQQBrowserRebaràQQBrowserAddressBaràQQBrowserCoreRichEdit,发送消息打开http://www.hao123.com/?tn=96006180_hao_pg,劫持启动页。

 

4、  结束杀软进程

 

a) 如果匹配以下进程名,则调用ExitProcess直接退出进程。

 
 

b) 如果匹配以下进程名,则创建线程,先调用Sleep函数睡眠10000毫秒,再调用ExitProcess退出进程。

 
 

5、  访问http://api.***.top/cg/config_01.ini,更新配置文件。

 

6、  访问api.***.top/?softname=yuanjie2345&mac=xx-xx-xx-xx-xx-xx&active=[ts]上报活跃统计,其中[ts]为注册表项HKEY_CURRENT_USER\Software\fatherv2下的值ts。



相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • 域名

    域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的 Internet 上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。

    43 引用 • 208 回帖
  • QQ

    1999 年 2 月腾讯正式推出“腾讯 QQ”,在线用户由 1999 年的 2 人(马化腾和张志东)到现在已经发展到上亿用户了,在线人数超过一亿,是目前使用最广泛的聊天软件之一。

    45 引用 • 557 回帖 • 224 关注
  • 国际化

    i18n(其来源是英文单词 internationalization 的首末字符 i 和 n,18 为中间的字符数)是“国际化”的简称。对程序来说,国际化是指在不修改代码的情况下,能根据不同语言及地区显示相应的界面。

    7 引用 • 26 回帖 • 1 关注
  • Ruby

    Ruby 是一种开源的面向对象程序设计的服务器端脚本语言,在 20 世纪 90 年代中期由日本的松本行弘(まつもとゆきひろ/Yukihiro Matsumoto)设计并开发。在 Ruby 社区,松本也被称为马茨(Matz)。

    7 引用 • 31 回帖 • 166 关注
  • PostgreSQL

    PostgreSQL 是一款功能强大的企业级数据库系统,在 BSD 开源许可证下发布。

    21 引用 • 22 回帖 • 1 关注
  • H2

    H2 是一个开源的嵌入式数据库引擎,采用 Java 语言编写,不受平台的限制,同时 H2 提供了一个十分方便的 web 控制台用于操作和管理数据库内容。H2 还提供兼容模式,可以兼容一些主流的数据库,因此采用 H2 作为开发期的数据库非常方便。

    11 引用 • 54 回帖 • 637 关注
  • Docker

    Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的操作系统上。容器完全使用沙箱机制,几乎没有性能开销,可以很容易地在机器和数据中心中运行。

    475 引用 • 899 回帖 • 1 关注
  • SendCloud

    SendCloud 由搜狐武汉研发中心孵化的项目,是致力于为开发者提供高质量的触发邮件服务的云端邮件发送平台,为开发者提供便利的 API 接口来调用服务,让邮件准确迅速到达用户收件箱并获得强大的追踪数据。

    2 引用 • 8 回帖 • 429 关注
  • 脑图

    脑图又叫思维导图,是表达发散性思维的有效图形思维工具 ,它简单却又很有效,是一种实用性的思维工具。

    21 引用 • 58 回帖
  • Linux

    Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 Unix 的多用户、多任务、支持多线程和多 CPU 的操作系统。它能运行主要的 Unix 工具软件、应用程序和网络协议,并支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。

    914 引用 • 930 回帖 • 1 关注
  • 正则表达式

    正则表达式(Regular Expression)使用单个字符串来描述、匹配一系列遵循某个句法规则的字符串。

    31 引用 • 94 回帖
  • 小薇

    小薇是一个用 Java 写的 QQ 聊天机器人 Web 服务,可以用于社群互动。

    由于 Smart QQ 从 2019 年 1 月 1 日起停止服务,所以该项目也已经停止维护了!

    34 引用 • 467 回帖 • 688 关注
  • 智能合约

    智能合约(Smart contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约概念于 1994 年由 Nick Szabo 首次提出。

    1 引用 • 11 回帖 • 5 关注
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    522 引用 • 4581 回帖 • 687 关注
  • Sublime

    Sublime Text 是一款可以用来写代码、写文章的文本编辑器。支持代码高亮、自动完成,还支持通过插件进行扩展。

    10 引用 • 5 回帖 • 2 关注
  • LeetCode

    LeetCode(力扣)是一个全球极客挚爱的高质量技术成长平台,想要学习和提升专业能力从这里开始,充足技术干货等你来啃,轻松拿下 Dream Offer!

    209 引用 • 72 回帖
  • 钉钉

    钉钉,专为中国企业打造的免费沟通协同多端平台, 阿里巴巴出品。

    15 引用 • 67 回帖 • 380 关注
  • 小说

    小说是以刻画人物形象为中心,通过完整的故事情节和环境描写来反映社会生活的文学体裁。

    28 引用 • 108 回帖
  • V2Ray
    1 引用 • 15 回帖
  • AngularJS

    AngularJS 诞生于 2009 年,由 Misko Hevery 等人创建,后为 Google 所收购。是一款优秀的前端 JS 框架,已经被用于 Google 的多款产品当中。AngularJS 有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入等。2.0 版本后已经改名为 Angular。

    12 引用 • 50 回帖 • 409 关注
  • 程序员

    程序员是从事程序开发、程序维护的专业人员。

    529 引用 • 3527 回帖
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    5 引用 • 26 回帖 • 489 关注
  • 深度学习

    深度学习(Deep Learning)是机器学习的分支,是一种试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。

    40 引用 • 40 回帖
  • FlowUs

    FlowUs.息流 个人及团队的新一代生产力工具。

    让复杂的信息管理更轻松、自由、充满创意。

    1 引用 • 2 关注
  • BAE

    百度应用引擎(Baidu App Engine)提供了 PHP、Java、Python 的执行环境,以及云存储、消息服务、云数据库等全面的云服务。它可以让开发者实现自动地部署和管理应用,并且提供动态扩容和负载均衡的运行环境,让开发者不用考虑高成本的运维工作,只需专注于业务逻辑,大大降低了开发者学习和迁移的成本。

    19 引用 • 75 回帖 • 609 关注
  • Google

    Google(Google Inc.,NASDAQ:GOOG)是一家美国上市公司(公有股份公司),于 1998 年 9 月 7 日以私有股份公司的形式创立,设计并管理一个互联网搜索引擎。Google 公司的总部称作“Googleplex”,它位于加利福尼亚山景城。Google 目前被公认为是全球规模最大的搜索引擎,它提供了简单易用的免费服务。不作恶(Don't be evil)是谷歌公司的一项非正式的公司口号。

    49 引用 • 192 回帖
  • 京东

    京东是中国最大的自营式电商企业,2015 年第一季度在中国自营式 B2C 电商市场的占有率为 56.3%。2014 年 5 月,京东在美国纳斯达克证券交易所正式挂牌上市(股票代码:JD),是中国第一个成功赴美上市的大型综合型电商平台,与腾讯、百度等中国互联网巨头共同跻身全球前十大互联网公司排行榜。

    14 引用 • 102 回帖 • 405 关注