“镜像杀机”劫持首页木马分析

近来几周,360核心安然团队发清楚明了一种新型锁主页木马。该木马会恶意窜改和锁定用户浏览器主页取利,应用户无法设置想要的浏览器主页。

颠末阐发,该种木马一样平常经由过程钓鱼下载站传播,藏身于系统装机软件或者常用软件的安装包中,经由过程拦截进程和收集来改动启动参数,以达到窜改主页的目的。今朝360已针对此类样本周全查杀,为用户电脑保驾护航,同时也提醒广大年夜用户安装软件时留意经由过程正规的下载渠道,避免中招。

感染历程

下图是一例传播此类木马的钓鱼网站,该类页面一样平常经由过程搜索引擎跳转而来。图中仿冒“2345加速浏览器”的下载页面,同时供给各类同类浏览器的下载按钮(实际上都是下载同一个安装包),并且为了增添传播的成功率,还专门弹出一个引诱性的提示来针对360安然卫士的查杀,试图骗取用户的相信使其主动退出360的防护。

随意率性点击一个下载按钮,终极下载的都是颠末二次打包的某浏览器安装包,在用户运行后将开释锁主页的驱动木马。

该安装包开释的驱动木马名为fujianc.sys,主要功能即窜改和锁定浏览器主页。同时,为了躲避安然软件的查杀,该驱动应用了VMP壳进行保护。

一旦驱动成功加载,将会创建多个系统回调例程,用来拦截浏览器进程的启动,履行恶意代码。

该驱动主要经由过程改动浏览器的进程启动参数或者浏览器的造访URL,来窜改浏览器造访的主页,这样用户无论若何设置主页,都无法成功规复自己想要的主页。

木马阐发

木马的核心功能在于开释出来的驱动文件fujianc.sys,下面主要阐发该文件的运行历程,整体的流程如图所示:

驱动木马会创建PsSetLoadImageNotifyRoutine回调,该回调函数是用来判断浏览器厂商,并且为不合浏览器添加不合的启动参数。接着Hook AFD.sys驱动的FastIoDeviceControl回调函数。该Hook函数是为了拦截包孕特定参数的浏览器,改动其收集造访的内容,然后直接返回给浏览器,以达到锁定主页的目的。

1、创建PsSetLoadImageNotifyRoutine回调函数

起开创建PsSetLoadImageNotifyRoutine回调函数,该回调函数便是主要的事情函数。该函数会判断不合厂商的浏览器,然后针对不合厂商浏览器有不合的拦截流程。

待挟制的浏览器列表

木马会遍历全部列表,然后匹配用户启动的浏览器,为浏览器添加特殊的敕令行参数,这些特殊敕令行会在AFD.sys驱动的被Hook函数中当做标志应用。用来给浏览器返回特定的包信息。

经由过程改动PEB中的ProcessParameters字段,添加浏览器参数

到此,PsSetLoadImageNotifyRoutine回调函数的主要事情就停止了。然后用户启动浏览器后,该驱动衔吸收集,下载加密数据,该数据便是AFD.sys的Hook函数要锁定的主页信息。(该加密数据以1024字节为距离,保存数据,为了方便察看,去掉落了1024字节的距离)

2、HOOK AFD.sys驱动FastIoDeviceControl回调函数

接着创建AFD.sys驱动的FastIoDeviceControl回调函数

Hook函数会拦截浏览器发送的post哀求内容

然后经由过程解析post哀求,判断是否是待挟制信息,终极设置全局标志位,方便为后续拦截http哀求做筹备。

[1] [2]下一页

经由过程上面设定的全局标志,判断是否必要拦截http哀求。假如必要,那么就选择应用的拦截要领, 301跳转要领或者HTML文本要领。假如应用301跳转要领就会把解密的跳转URL款式化到http布局的Location字段。假如应用HTML要领,就会把解密的URL放入到src字段。

301要领跳转主页

HTML要领跳转主页

终极,经由过程该种要领,来达到锁定浏览器主页的目的,同时也使浏览器设置的默认主页掉效。

信息掘客

颠末溯源发明,该类木马的传播主要经由过程以下几个域名,且大年夜部分域名指向同一办事器ip:

进一步发明这些钓鱼下载站的资本都是颠末二次打包的常用软件,且均会开释该类驱动木马。这些常用软件的种类对照周全,主要针对用户常用的下载需求。

比如二次打包的浏览器

PDF涉猎对象

还有种种激活对象

此外我们还发明,该木马作者常常应用一些过时或者吊销的数字署名签发驱动木马法度榜样。涉及的数字署名包括:

结语

360无需进级即可查杀该木马,建议用户维持安然防护软件开启;同时为了避免在钓鱼下载站踩雷,建议用户经由过程正规道路下载软件,牢记弗成轻信下载站的引诱提示关闭杀毒软件或添加相信运行报毒法度榜样。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包