万圣节前夕“幽虫”借尸还魂，10万+用户遭到攻击！

万圣节狂欢将至，假“幽灵”组团捣蛋，真恶魔“幽虫”木马突袭全网。近日，360安全大脑监测到新型“幽虫”木马变种疯狂传播，监测数据显示感染机器数量已超10万台。持续追踪发现，此次“幽虫”木马变种，主要通过伪装激活工具的方式全网扩散。

变种“幽虫”木马虎视眈眈，不过广大用户无需过分担心，360安全大脑赋能下的360安全卫士，无需更新即可强力查杀变种“幽虫”，用户可下载安装360安全卫士，免受“幽虫”木马威胁。

“幽虫”木马借尸还魂

七成中招用户使用win10系统

从360安全大脑监测数据来看，目前“幽虫”木马已感染超10万电脑，且中毒电脑超七成为win10系统，威胁十分严峻。

所谓“幽虫”，其实是指通过外挂、破解软件、伪装激活工具，盗版系统等进行传播，后续释放内核驱动实现长期驻留，感染用户机器后会通过篡改浏览器主页，静默推广软件等方式进行盈利的病毒木马。

事实上早在2018年11月，360安全大脑就曾监测到“幽虫”木马的异常活跃，并在第一时间拦截查杀，时隔一年为何“幽虫”再度泛滥？

（“幽虫”木马劫持后的浏览器首页）

经360安全大脑溯源分析发现，此次变种升级后的“幽虫”木马，主要通过伪装激活工具的方式大肆扩散，且相比于一年前泛滥的“幽虫”木马，此版本还可绕开杀毒软件的查杀拦截，更为悄无声息的潜进目标用户电脑。

同时由于“幽虫”木马通常会以暗地下载推广程序，疯狂点击广告等流量劫持的方式获利，导致用户感染而不自知情况十分普遍，进一步助长“幽虫”木马的嚣张气焰。

“幽虫”一日伏击10万+电脑

移形换影花式套路躲避查杀

从360安全大脑最新监测数据来看，“幽虫”一天内疯狂感染10万+设备，威胁层级远胜去年，“幽虫”木马在技术代码与攻击手法究竟为何如此凶险？经360安全大脑深度解析，不仅找到了传播幽虫木马的下载站，还披露了“幽虫”移形换影攻击的来龙去脉。

（传播幽虫木马的下载站）

下载并运行携带“幽虫”的激活工具后，首先会释放一个xyy333.exe,xyy333.exe，紧随其后木马驱动就会释放并加载。

木马驱动模块注册的系统回调主要包括：进程创建回调，模块加载回调，注册表回调，minifilter文件系统过滤四个部分。其中进程创建回调和模块加载回调两部分是为了让木马顺利完成APC注入浏览器首页劫持；注册表回调则是保护自身注册表不被杀毒软件访问，进而在目标电脑长驱直入；最后的minifilter文件系统，则是保护自身驱动文件拒绝浏览器加载指定安全模块，进一步防范目标电脑的安全拦截。

Minifilter会禁止主流杀软安全模块的正常加载：

禁止浏览器进程加载安全模块：

如果当前访问目标为驱动本体，则使用IoReplaceFileObject将文件重定位到acpi.sys:

注册表回调用于阻止杀毒软件等进程对病毒注册表的访问，以保护自身，代码逻辑如下：

木马驱动模块会创建攻击性线程以暴力枚举内存的方式移除杀软进程创建回调和模块加载回调等。

利用进程创建回调和模块加载回调在目标浏览器进程创建时通过插APC的方式将劫持首页的动态库注入到目标进程中，各回调机制之间的关系如下：

部分代码实现如下：

注入目标进程的动态库，会请求一份云控配置文件，其中就包含要劫持浏览器主页的配置和要静默推广的软件列表：

鉴于“幽虫”木马伪装激活工具传播，且感染后难察觉的情况，360安全大脑给出如下建议：
1、建议广大用户及时前往weishi.360.cn，下载安装360安全卫士，开启全面安全防护功能，拦截此类木马；
2、通过下载站下载软件时避免点击高速下载按钮，或直接使用360软件管家下载正版软件；
3、使用激活工具后若出现异常状况，可通过360急救箱进行检查；
4、避免下载、接收和运行不明来源的文件，以防中招。

来源  360安全卫士