专业剖析爱改首页的小易木马

近期，360安全大脑监测到一类导致蓝屏的驱动木马现身网络，该木马以不正规网站的免费软件下载器作为载体，诱导用户下载安装后入侵受害者电脑，篡改浏览器首页，捆绑安装流氓软件，窃取用户机器信息，并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。

360社区

鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件，并在驱动木马中操作小易记事本相关注册表(Enotepad)，故将其命名为“小易木马”。

不过广大用户无需担心，360安全卫士即可对此类木马的拦截和查杀。

360社区

驱动木马功能分析

01

首页篡改与Win 10 蓝屏触发

此类下载器会释放安装恶意驱动，该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。

360社区

同时，该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏，蓝屏的原因在于，该木马加载运行后在内存中暴力断链隐藏自身，并将一个不属于任何模块的注册表回调CmpCallback（早期版本还有一个模块加载回调LoadImage）驻留在内存中，这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。

360社区

木马回调触发PatchGuard内核保护引起蓝屏

02

暴力断链隐藏模块

该驱动木马通过操作内核模块ldr双向链表，将自己的驱动模块从双向链表中移除，并将自身驱动对象的各个字段清0，以此对抗安全工具和杀软对驱动模块的查杀。

360社区

360社区

03

劫持文件系统隐藏文件

该驱动木马通过劫持文件系统，来过滤文件请求操作，从而达到隐藏自己驱动文件的目的。

木马会对IRP_MJ_CREATE，IRP_MJ_DIRECTORY_CONTROL，IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤；

其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护，处理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。

360社区

例如对于IRP_MJ_CREATE类型IRP的处理中，会判断文件操作的目标是否命中驱动木马文件，如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问，从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示：

360社区

04

注册回调挂钩函数保护注册表

木马的注册表回调用于保护其驱动对应注册表不被删改，对于低版本的系统，木马还会挂钩系统GetCellRoutine函数来保护自身注册表。

其注册表回调的过滤方式是：如果打开和枚举操作的线程不是木马自己的线程，并且目标注册表键，命中木马自己自身注册表键，则拒绝访问。

360社区

并且对于win7及其之前的系统，则以硬编码方式获取GetCellRoutine函数地址，并挂钩该函数，以保护自己的注册表。

在挂钩函数中，木马判断如果注册表的操作线程不是木马自己的线程，则进行过滤操作：木马判断操作的目标注册表节点是否命中自己的注册表节点，如果命中的话，则返回空数据以隐藏自己。

360社区

同时，木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除，如果被移除的话，则再次进行挂钩。

​

360社区

05

内核dll注入explorer

在该木马的旧期版本中，还有通过模块加载回调patch ZwTestAlert系统函数，将木马DLL注入到explorer进程的功能。

其详细过程为：木马通过LoadImage模块加载回调，过滤explorer进程对ntdll模块的加载，挂钩ntdll加载过程中调用到的ZwTestAlert函数，即patch ZwTestAlert函数的前5个字节，从而跳转到explorer进程空间内木马写入的一段shellcode，再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll，以完成对explorer进程的dll注入。

模块加载回调中判断explorer进程加载ntdll模块：

360社区

获取ZwProtectVirtualMemory，LdrLoadDll，ZwTestAlert函数地址，分别用于：修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll；挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板，调用到shellcode.

360社区

06

受害者信息回传与后门常驻

该木马驱动加载后，会向木马C&C服务器回传统计受害者用户基本信息，并以此驱动作为入侵受害者机器的基石，进一步榨取受害者机器剩余价值，例如可能通过木马服务器，进一步捆绑安装狗皮膏药类的流氓软件等。

360社区

安全建议

打着“免费”激活，“免费”软件等的旗号，行病毒木马，流氓软件之事的案例屡见不鲜。但请广大用户无需担心，360安全卫士即可对此类木马进行拦截和查杀。 同时在此推荐广大用户通过360软件管家下载安装正规软件。

希望广大用户不要抱有侥幸等心理，无视360安全卫士的网址拦截与木马运行拦截，保持360安全卫士的常驻保护，警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士以及360系统急救箱，皆可查杀木马。

360官网：

http://www.360.cn

360系统急救箱下载链接：

http://weishi.360.cn/jijiuxiang/index.html

{:18_549:}{:14_363:}