关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城积分兑换
一、概述

近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵受害者电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。

360社区

360社区


鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。

不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。

360社区

360社区


二、驱动木马功能分析

1. 首页篡改与win10蓝屏触发

此类下载器会释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。

360社区

360社区


同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage)驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。

360社区

360社区


木马回调触发PatchGuard内核保护引起蓝屏

2. 暴力断链隐藏模块

该驱动木马通过操作内核模块ldr双向链表,将自己的驱动模块从双向链表中移除,并将自身驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。


360社区

360社区

360社区

360社区


3. 劫持文件系统隐藏文件

该驱动木马通过劫持文件系统,来过滤文件请求操作,从而达到隐藏自己驱动文件的目的。

木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;

其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理
IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。

360社区

360社区


例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回
STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到隐藏保护文件的目的。其对应的反汇编代码下图所示:

360社区

360社区


4. 注册回调挂钩函数保护注册表

木马的注册表回调用于保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来保护自身注册表。

其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。

360社区

360社区


并且对于win7及其之前的系统,则以硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。

在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则返回空数据以隐藏自己。

360社区

360社区


同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则再次进行挂钩。

360社区

360社区


5. 内核dll注入explorer

在该木马的旧期版本中,还有通过模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。

其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。

模块加载回调中判断explorer进程加载ntdll模块:

360社区

360社区


获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.

360社区

360社区


5. 受害者信息回传与后门常驻

该木马驱动加载后,会向木马C&C服务器回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石,进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。

360社区

360社区


三、安全建议

打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。但请广大用户无需担心,360安全卫士即可对此类木马进行拦截和查杀。 同时在此推荐广大用户通过360软件管家下载安装正规软件。

希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截,保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士以及360系统急救箱,皆可查杀木马。(http://www.360.cnhttp://weishi.360.cn


来源  360官网

共 1 个关于Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马的回复 最后回复于 2021-3-9 14:47

评论

直达楼层

摩罗大师 VIP认证 LV9.中校 发表于 2021-3-9 14:47 | 显示全部楼层 | 私信
支持一下
来自360手机f4(360社区3.4.8版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:176 关注:13 积分:180140

精华:307 金币:189941 经验:145882

最后登录时间:2021-4-23

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

商城活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表