这是让cluade写的木马病毒分析报告,是我在装谷歌浏览器时感染,感染后杀软无法正常启动,连病毒库更新都被这个木马阻拦不让更新,文件夹权限被锁死,通过cluade排查了问题才解决的。希望360团队能关注处理这种情况的发生。
123SyncCloud / GooFBU / SuperKillerSrv 木马家族
报告日期 2025年12月29日
威胁等级 高危
木马家族 Trojan/BAT.Runner.ao (火绒命名)
感染途径 捆绑在盗版 Google Chrome 安装包中
一、威胁概述
该木马通过捆绑在盗版 Google Chrome 浏览器安装包中传播。一旦安装,木马会在系统中部署多层持久化机制,包括恶意服务、右键菜单注入、DNS 污染和代理劫持。该木马具有专业级的自我保护能力,能够禁用杀毒软件进程、阻止病毒库更新,使普通用户难以通过常规手段清除。
二、木马组件结构
2.1 核心防护层(自保护模块)
服务名 显示名称 功能
GooFBU StydP7tvFKVFUbTX (随机) 禁用杀软进程,阻止病毒库更新
SuperKillerSrv SuperKillerSrv 杀软对抗,保护其他木马组件
2.2 执行层(主控模块)
组件 说明
123SyncCloud Maintenance Service 主控服务,负责释放 .bat 脚本、管理持久化
SyncCloudShell.dll 右键菜单扩展 DLL,注入 explorer.exe 实现持久化
2.3 载荷层(恶意脚本)
木马会在 C:\Windows 目录下释放随机命名的 .bat 批处理脚本:
⦁ WQXVJ.bat
⦁ jplHG.bat
⦁ wxUwnWnLtQ.bat
⦁ dAg9.bat
⦁ dyygFZbf9.bat
三、恶意文件与路径 (IOC)
3.1 恶意目录
⦁ C:\ProgramData\123SyncCloud\
⦁ C:\ProgramData\6541F601526F5C15E2B0D695D720DAC4\
⦁ C:\Users\<USER>\AppData\Local\pri\
⦁ C:\Users\<USER>\AppData\Roaming\{85B9E071-C817-4FFE-99A5-4CDFE9BB8D93}\
3.2 恶意文件
文件路径 类型
C:\ProgramData\123SyncCloud\shellext\SyncCloudShell.dll 右键菜单注入 DLL
C:\ProgramData\...\config.ini 木马配置文件
C:\Users\...\AppData\Local\pri\ZrW2ou\mFY4gVQ.dll 核心木马 DLL
C:\Users\...\AppData\Local\pri\ZrW2ou\ypZtxj.exe 核心木马主程序
C:\Windows\<随机字母>.bat 恶意批处理脚本
四、网络行为 (IOC)
4.1 C&C 域名
⦁ shunfeng168.vip(主要 C&C 服务器)
4.2 恶意 IP
⦁ 47.238.158.120:22(SSH 端口,疑似远程控制)
4.3 网络劫持
⦁ 污染系统 DNS 缓存服务 (Dnscache)
⦁ 设置本地代理 127.0.0.1:80 劫持 HTTP 流量
⦁ 弹出伪造的密码输入窗口(钓鱼)
五、注册表修改 (IOC)
5.1 恶意服务注册
⦁ HKLM\SYSTEM\CurrentControlSet\Services\GooFBU
⦁ HKLM\SYSTEM\CurrentControlSet\Services\SuperKillerSrv
⦁ HKLM\SYSTEM\CurrentControlSet\Services\123SyncCloud Maintenance Service
5.2 右键菜单注入
⦁ HKCR\AllFilesystemObjects\shellex\ContextMenuHandlers\CloudContextMenuHandler
⦁ HKCR\Directory\shellex\ContextMenuHandlers\CloudContextMenuHandler
5.3 代理设置篡改
⦁ HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer = 127.0.0.1
六、持久化机制分析
该木马采用多层持久化策略,确保即使部分组件被清除也能恢复:
1. Windows 服务:注册三个恶意服务(GooFBU、SuperKillerSrv、123SyncCloud),开机自启动
2. Shell 扩展注入:通过 SyncCloudShell.dll 注入 explorer.exe,随文件管理器启动
3. DNS 缓存污染:利用系统 Dnscache 服务定期解析恶意域名
4. 代理劫持:设置本地代理拦截网络流量
5. 权限锁定:对关键目录设置隐藏+系统属性并锁定 NTFS 权限
6. 杀软对抗:主动终止杀毒软件进程,阻止病毒库更新
七、自保护机制分析
该木马具备专业级自保护能力:
保护机制 技术细节
禁用杀毒软件 终止火绒、360 等安全软件进程,阻止其启动
阻止病毒库更新 拦截安全软件的网络连接,阻止特征库下载
多组件互相守护 三个服务相互监控,一个被删除另一个会恢复
随机命名 文件名、目录名、服务显示名均随机生成,躲避特征匹配
权限锁定 目录设置为隐藏+系统属性,NTFS 权限拒绝访问
八、清理方案建议
重要:必须按以下顺序清理,否则木马会自动恢复:
1. 第一步 - 清除核心防护层:停止并删除 GooFBU 和 SuperKillerSrv 服务(解除杀软封锁)
2. 第二步 - 清除执行层:删除 123SyncCloud 服务及其目录
3. 第三步 - 清除注册表残留:删除 CloudContextMenuHandler 右键菜单项
4. 第四步 - 清除恶意文件:使用 takeown + icacls 获取权限后删除锁定目录
5. 第五步 - 修复网络设置:清除代理设置、刷新 DNS 缓存
6. 第六步 - 全盘扫描:使用更新后的杀软进行全盘扫描确认
九、检测特征建议
9.1 服务检测
⦁ 服务路径包含 AppData\Local\pri
⦁ 服务路径以 cmd /c cd /d 开头
⦁ 服务显示名为随机字母组合
9.2 文件检测
⦁ C:\Windows 目录下随机命名的 .bat 文件
⦁ C:\ProgramData 下 GUID 格式目录名
⦁ 隐藏+系统属性的 AppData\Local 子目录
9.3 网络检测
⦁ DNS 查询 shunfeng168.vip
⦁ 连接 47.238.158.120:22
⦁ 本地 127.0.0.1:80 代理设置
十、总结
该木马家族采用多层架构设计,具有专业级的自我保护能力。其核心特征是通过 GooFBU 和 SuperKillerSrv 两个「保镖」服务禁用杀毒软件,使常规查杀手段失效。清理时必须首先解除这两个服务,才能正常使用杀软清除其他组件。建议杀软厂商在查杀流程中优先识别和处理此类自保护模块,并针对其随机命名特征开发行为检测规则。
附录:清理命令参考
# 删除恶意服务
sc.exe delete "GooFBU"
sc.exe delete "SuperKillerSrv"
sc.exe delete "123SyncCloud Maintenance Service"
# 删除注册表项
reg delete "HKCR\AllFilesystemObjects\shellex\ContextMenuHandlers\CloudContextMenuHandler" /f
# 获取权限并删除锁定目录
takeown /f "C:\Users\<USER>\AppData\Local\pri" /r /d y
icacls "C:\Users\<USER>\AppData\Local\pri" /reset /t /c
rd /s /q "C:\Users\<USER>\AppData\Local\pri"
# 清除代理和 DNS
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f
ipconfig /flushdns
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层