欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“异鬼Ⅱ”Bootkit木马详细分析

来源:本站整理 作者:佚名 时间:2017-07-26 TAG: 我要投稿

概述:
下载站的高速下载器一直是恶意木马大规模传播的温床,前段时间的暗云Ⅲ木马通过高速下载器传播推广,感染机器数高达数百万台。近期,腾讯电脑管家又拦截到了一个通过高速下载器大范围传播的恶性Bootkit木马——异鬼Ⅱ,令人吃惊的是这个恶意VBR的植入者,居然是一款比较知名的软件——甜椒刷机。
正因为开发者是正规的软件公司,软件上打了官方的数字签名,不少安全厂商将其加入白名单中,导致大量机器感染。该木马主要有以下特点:
正规软件携带恶意代码:异鬼Ⅱ隐藏在正规软件中,带有官方数字签名,导致大量安全厂商直接放行。
影响范围广:通过国内几大知名下载站的高速下载器推广,并且异鬼Ⅱ能够兼容xp、win7、win10等主流操作系统,影响数百万台用户机器。
云控、灵活作恶:木马的VBR感染模块,以及最终实际作恶的模块均由云端下发,作者可任意下发功能模块到受害者电脑执行任意恶意行为,目前下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。
隐蔽性强、顽固性强:通过感染VBR长期驻留在系统中,普通的重装系统无法清除木马;异鬼Ⅱ还通过底层磁盘钩子守护恶意VBR,对抗杀软查杀。

(更多“异鬼”资料查看http://tav.qq.com/index/newsDetail/255.html)
一、 甜椒刷机通过下载器静默推广传播,云控篡改VBR
近期,甜椒刷机通过各大网站高速下载器疯狂静默推广,该版本的甜椒看似刷机软件,实则为恶性木马。异鬼Ⅱ隐藏了能够拉起云端恶意代码的后门,一旦运行,会从云端下载VBR感染模块感染电脑VBR,即使用户重装系统,也无法清除。


该版本甜椒刷机与官方http://www.onekeyrom.com/index.html最新版版本不同,应该是一个支线版本,但和官网的安装包用的是同一个数字证书签名,且木马使用的C&C服务器与其官方软件所用服务器一致。

1、安装包行为
1)运行后安装包首先会判断自身文件名中是否包含“20174”字符,如果包含则开始静默安装并在注册表、互斥量上做标记,准备感染。

2)创建名为SamRootDetect的互斥量,创建HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\un注册表键值。

3)释放所有安装文件到指定目录后,运行主程序TJShuaji.exe,并Sleep 20秒,TJShuaji.exe启动后会检测互斥量,检测到才进行感染,所以必须在20秒内启动。

2.
2、TJShuaji.exe行为
1) 检测是否存在名为SamRootDetect或者OdinDetect的互斥量,或者命令行中是否包含有以上字符串。若是,则设立感染标志。

2) 满足以上条件,则设立感染标志。

3) 判断感染标志,创建线程进行感染行为。

4) 在线程中判断注册表否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\un键值(母体创建),以及是否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex键值(感染后会设置,防止重复感染)。

5) 满足以上条件后,访问以下URL,根据操作系统版本信息等下载数据,http://bd.705151.com/clientapi/clientreport.ashx?u=%d&pc=%s&os=%d&sid=%d其中u为注册表un键值,pc为mac、cpuid等硬件信息的hash值,sid写死为10,os为32或64。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载