Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马
一、概述近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵受害者电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。
鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。
不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。
二、驱动木马功能分析
1. 首页篡改与win10蓝屏触发
此类下载器会释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。
同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage)驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。
木马回调触发PatchGuard内核保护引起蓝屏
2. 暴力断链隐藏模块
该驱动木马通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。
3. 劫持文件系统隐藏文件
该驱动木马通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。
木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;
其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理
IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。
例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回
STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:
4. 注册回调挂钩函数保护注册表
木马的注册表回调用于保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来保护自身注册表。
其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。
并且对于win7及其之前的系统,则以硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。
在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则返回空数据以隐藏自己。
同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则再次进行挂钩。
5. 内核dll注入explorer
在该木马的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。
其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。
模块加载回调中判断explorer进程加载ntdll模块:
获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.
5. 受害者信息回传与后门常驻
该木马驱动加载后,会向木马C&C服务器回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。
三、安全建议
打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。但请广大用户无需担心,360安全卫士即可对此类木马进行拦截和查杀。 同时在此推荐广大用户通过360软件管家下载安装正规软件。
希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截,保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士以及360系统急救箱,皆可查杀木马。(http://www.360.cn,http://weishi.360.cn)
来源360官网 支持一下
页:
[1]