羊皮之下的小强木马

近日，360安全大脑监测到，捆绑正常软件，安装恶意驱动的XQGuard小强木马有所更新。不同于之前通过恶意驱动关机回调，回写驱动文件和注册表的自保方式， 新版本的小强木马放弃了驱动层回写的自保对抗方式，转而完全依赖于应用层注入模块来完成关机回写任务。

不过广大用户无需担心， 360安全卫士可对此类木马拦截查杀。

小强式的入侵流程

小强木马的主要来源，是各类 伪装为常规软件的下载网站，例如伪装为WPS，酷狗，微信等等，这些恶意安装包会内嵌一个正常的软件安装包，用于满足用户需求，同时再静默完成捆绑流氓软件，释放恶意驱动。

为了能顺利执行恶意行为，恶意安装包在安装过程中，可能还会 诱导用户退出安全软件，这也是各类木马的常用手法。

为了尽可能地隐藏自己的恶意行为，木马还会查询当前IP所属的城市是否是北京等一线城市，判断是否处于虚拟机环境中，检查是否有监控分析软件等。如果用户环境不是指定的一线城市IP，也不是虚拟机环境，并且不存在监控分析软件进程，木马才执行后续的恶意注入等行为。

具体恶意行为

木马进程会将恶意dll注入到winlogon进程，并向服务器请求恶意文件加密数据，然后挂钩winlogon进程ExitWindowsEx函数，用于关机回写以及更新恶意驱动数据。

winlogon进程被Hook的ExitWindowsEx函数，则通过激活事件，通知正在等待的回写驱动线程，在关机时，写入小强恶意驱动的注册表和驱动文件，用于电脑重启后加载恶意驱动。

而驱动文件的数据，则已经加密保存在了"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Module"注册表键的{6fab99d0-bab8-11d2-994a-01c05f98bbc9}键值项中，注入到winlogon进程的恶意dll,会从中读取数据解密出XQGuard小强驱动木马文件数据，写入到drivers目录下。

重启后，XQGuard小强木马得以加载，而新版本的小强木马，整体行为较之前版本大同小异，但已然放弃了依靠自身驱动关机回调，来回写注册表服务和文件的功能，转而完全依赖于应用层已经注入到winlogon进程中的dll，来完成关机回写的任务。因此，小强驱动木马加载后，会以APC注入的方式，再次将dll注入到winlogon进程，从而通过其dll再次达到关机回写的目的。值得注意的是，其dll也会通过请求木马服务器，来实现云控更新驱动木马数据，其更新的数据，写入"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Module"注册表键。

往期旧版本小强木马分析：

史上最怂的“小强”木马,发现360急救箱即刻自杀

论一只小强的反抗精神——从逆来顺受到武装抵抗的小强木马

安全建议

1、前往https://www.360.cn/ 下载安装 360安全卫士进行防护。

2、从360软件管家下载安全可信的常用软件。

3、如果已不慎感染该木马，可前往https://www.360.cn/ 下载安装 360安全卫士，使用360安全卫士的查杀服务。

MD5

6a846b55b3e64e3630bbe709b7fa1c10

1f91d92235b8ec2d8793ac43f2b79e3e

1f4909cf4b4c48474c98ce8e2771b903


来源    360安全卫士