中文版 Global
首頁 > 安全資訊 > 正文

Win 10 蓝屏与流氓捆绑罪魁祸首:小易木馬

一、概述

近期,360安全大腦監測到一類導致藍屏的驅動木馬現身網絡,該木馬以不正規網站的免費軟件下載器作为载体,诱导用戶下载安装后入侵用戶电脑,篡改浏览器首頁,捆绑安装流氓软件,窃取用戶机器信息,並導致win10機器觸發“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。

鑒于此類下載器會同時捆綁安裝“小易記事本”等流氓軟件,並在驅動木馬中操作小易記事本相關注冊表(Enotepad),故將其命名爲“小易木馬”。

360安全衛士可即时对“小易木馬”进行拦截和查杀。

二、驅動木馬功能分析

1.首頁篡改与Win?10 藍屏觸發

此類下載器會釋放安裝惡意驅動,該驅動木馬早期版本篡改浏览器首頁为hxxps://www.2345.com/?39403等地址。

同時,該惡意驅動還會導致win10系統觸發“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木馬加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本還有一個模塊加載回調LoadImage)駐留在內存中,這兩點都會觸發win10 PatchGuard内核保护机制导致蓝屏。


木馬回調觸發PatchGuard内核保护引起蓝屏

2.暴力斷鏈隱藏模塊

该驅動木馬通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。


3.劫持文件系統隱藏文件

该驅動木馬通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。

木馬會對IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION這三種類型的IRP進行過濾;

其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防刪除保護,處理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程負責文件隱藏保護。

例如對于IRP_MJ_CREATE類型IRP的处理中,会判断文件操作的目标是否命中驅動木馬文件,如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:


4.注冊回調挂鈎函數保護注冊表

木馬的注冊表回調用于保護其驅動對應注冊表不被刪改,對于低版本的系統,木馬還會挂鈎系統GetCellRoutine函數來保護自身注冊表。

其注冊表回調的過濾方式是:如果打開和枚舉操作的線程不是木馬自己的線程,並且目標注冊表鍵,命中木馬自己自身注冊表鍵,則拒絕訪問。

並且對于win7及其之前的系統,則以硬編碼方式獲取GetCellRoutine函數地址,並挂鈎該函數,以保護自己的注冊表。

在挂鈎函數中,木馬判斷如果注冊表的操作線程不是木馬自己的線程,則進行過濾操作:木馬判斷操作的目標注冊表節點是否命中自己的注冊表節點,如果命中的話,則返回空數據以隱藏自己。

同時,木馬在注冊表回調中判斷自己的GetCellRoutine函數鈎子是否被移除,如果被移除的話,則再次進行挂鈎。


5.內核dll注入explorer

在该木馬的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函數,将木馬DLL注入到explorer進程的功能。

其详细过程为:木馬通过LoadImage模塊加載回調,過濾explorer進程對ntdll模塊的加載,挂鈎ntdll加載過程中調用到的ZwTestAlert函數,即patch?ZwTestAlert函數的前5个字节,从而跳转到explorer进程空间内木馬写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木馬dll,以完成對explorer進程的dll注入。

模塊加載回調中判斷explorer進程加載ntdll模塊:

獲取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函數地址,分別用于:修改explorer進程內存屬性寫入shellcode;shellcode中通過LdrLoadDll函數地址加载木馬dll;挂鈎ZwTestAlert函數patch前5字節構建相對跳轉指令作爲跳板,調用到shellcode.

6.受害者信息回傳與後門常駐

该木馬驱动加载后,会向木馬C&C服务器回传统计受害者用戶基本信息,并以此驱動作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木馬服务器,进一步捆绑安装狗皮膏药类的流氓软件等。

三、安全建議

打著“免费”激活,“免费”软件等的旗号,行病毒木馬,流氓软件之事的案例屡见不鲜。360安全衛士可对此类木馬进行拦截和查杀,推荐广大用戶通过360軟件管家下载安装正规软件。

希望广大用戶不要抱有侥幸等心理,无视360安全衛士的网址拦截与木馬运行拦截预警,开启360安全衛士的常驻保护,警惕360安全衛士拦截的危险行为。已中毒用戶亦可下载安装360安全衛士以及360系統急救箱进行木馬查杀。(http://weishi.360.cn/jijiuxiang/index.html

360安全衛士

熱點排行

用戶
反饋
返回
頂部
關于360
公司簡介
創始人
大事記
獲獎記錄
品牌宣傳片
投資者關系
公司公告
加入360
社會招聘
校園招聘
360大學
用戶服务
意见反饋
理賠舉報
手機回收
电脑/手機維修
360隱私保護白皮書
360安全應急響應中心
商務合作
聯系我們
360點睛營銷平台
360奇勝效果聯盟
360生態鏈