欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

老毛桃PE盘工具木马:一款“通杀”浏览器的主页劫持大盗

来源:本站整理 作者:360安全卫士 时间:2017-08-08 TAG: 我要投稿

最近,360安全中心接到多起网友反馈,称电脑中所有浏览器的主页都被篡改,而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析,这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。
下载该制作工具后,其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时,还会弹出“阻止安装”提示,诱导中招者停止安装。专家进一步分析后发现,该驱动还设置了不少保护措施逃避安全软件查杀,如禁止自身文件和注册表的浏览和读取等。
实际上,“老毛桃”早已退出市场多年。目前市面上可见的“老毛桃”工具都是假的,更有不法分子经常打着“老毛桃”的旗号传播木马。360现已第一时间拦截查杀该木马,以下是360安全中心对该木马的详细分析:
1下载的安装包
该木马网页利用搜索竞价排名在网上扩散,中招者提供的“带毒”网址如图:

下载PE后里面会带一个
PEINIT,去解压这个PELOAD.7z文件。解压出来的PELOAD.BIN文件是一个叫净网管家的安装包。
该安装包文件为:

然后安装运行后会释放一个  jw开头的随机名驱动。

并且会拦截360安全卫士等软件安装。

2 释放的恶意驱动
2.1 驱动文件信息
 该驱动文件签名信息为:

驱动
2.2 驱动初始化
该驱动文件加载后就向NTFS文件系统发送标记删除命令。
导致任何访问对该文件的访问都会返回STATUS_DELETE_PENDING。
 创建GUID 设备名跟应用层交互。

注册关机回调
关机回调中回写注册表文件。

注册进程回调模块加载回调 进程回调主要作用为改主页
并创建系统线程跟服务器上传信息  驱动自我更新

注册注册表回调保护自身服务项。

2.3 进程回调  修改PEB中进程命令行
获取进程PEB信息: 

判断是否为浏览器进程:

为通配判断。

判断父进程

拼接命令行

拼接后网址为
http://dh936.com/?00804
然后追加到进程路径信息后面, 修改PEB中ProcessParameters进程命令行。

为了使改首页有效还必须屏蔽网盾模块,
网盾模块主要是两处屏蔽,一处为文件过滤驱动屏蔽,另外一处为进程模块加载Patch。
2.4 文件过滤驱动

相关函数为:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载