近期,360安全大脑拦截到一款劫持流量的恶意驱动XQGuard,该木马会通过装机盘,游戏私服等多种渠道进行传播,在感染用户机器后,通过中间人劫持的方式,劫持用户的流量,从而谋求利益。在病毒文件的调试路径中我们发现“技术部”等关键词,推测该病毒可能是某个具有公司性质的团伙编写的。
在分析过程中我们发现,该木马会在检测到360急救箱进程运行后禁用关机回调,从而自杀,基于这种特性,我们又将这一史上最怂的驱动木马称为”小强”木马。
隐藏和驻留
小强木马会通过对象劫持将恶意驱动伪装成系统网络驱动tdi.sys:
并且会检测当前运行坏境是不是VMware虚拟坏境,若是则不会执行病毒逻辑:
病毒会通过创建进程回调对自身做进一步的隐藏,当监控到Pchunter或Process explorer等安全工具运行时,病毒会将自身注册的注册表项删除,以免被安全分析人员发现:
当发现360急救箱的SuperKiller.exe等进程运行时,会设置一个让关机回调失效的全局变量,当病毒的关机回调触发之后,会先判断该全局变量是否被设置(即是否运行过360急救箱),若被设置,则不会执行后续逻辑,退出关机回调,反之则会将病毒的注册表和文件进行恢复,实现病毒驻留。
恢复病毒注册表和服务相关代码逻辑如下:
流量劫持
木马会添加一个恶意根证书,用于劫持https流量:
驱动将劫持流量的动态库注入到winlogon.exe进程中,动态库会先更新劫持使用的配置文件:
配置文件经过加密处理,相关的解密函数如下:
p_POKv980FJVH9T_102.txt配置文件用来匹配要劫持网站的url,其中包含各大导航站(hao123,QQ导航,2345,百度等),电商网址(京东,苏宁,淘宝,天猫,唯品会等等),云服务器厂商(阿里云,腾讯云,华为云)的推广链接。配置文件内容如下:
b_FHJG56AP7JDFH_102.txt配置文件用来保存劫持后的网址:
然后监听本地端口,开启中间人劫持,以hao123为例,当病毒匹配到域名为www.hao123.com后会从本地或远程服务器获取劫持配置,然后将用户流量劫持到携带病毒渠道号的恶意链接上,相关逻辑如下:
相关的流量特征如下:
安全建议
1. 激活工具、装机盘、Ghost系统、游戏私服等常常是木马寄生传播的媒介,用户应该减少此类软件的使用。
2. 360安全卫士、急救箱均支持该木马的查杀,且由于该木马在检测到360急救箱后便会自杀的躲避机制,我们建议广大用户进行安装使用。
360安全卫士下载地址:
https://weishi.360.cn/?source=homepage/
360急救箱下载地址:
http://weishi.360.cn/jijiuxiang/index.html
驱动数字签名
毕节东锦建筑劳务工程有限公司
木马劫持后使用的推广渠道号
向上滑动阅览
123.sogou.com=121448
www.hao123.com=48020221_19_hao_pg
ai.taobao.com=mm_816690005_1235300226;mm_14626936_8346309
618.tmall.com=mm_816690005_1235300226
1111.tmall.com=mm_816690005_1235300226
www.fliggy.com=mm_816690005_1235300226
pages.tmall.com=mm_816690005_1235300226;mm_14626936_8346309
www.tmall.hk=mm_816690005_1235300226
chaoshi.tmall.com=mm_816690005_1235300226
www.taobao.com=mm_816690005_1235300226
www.tmall.com=mm_816690005_1235300226;mm_26632331_7304251
mos.m.taobao.com=mm_816690005_1235300226
www.aliyun.com=mm_816690005_1235300226;vjm427ra
promotion.aliyun.com=vjm427ra
developer.aliyun.com=vjm427ra
yqh.aliyun.com=vjm427ra
ac.aliyun.com=vjm427ra
tm.aliyun.com=vjm427ra
www.jd.com=hao.889dh.com;utm_source=u-x.jd.com;123.sogou.com
union-click.jd.com=AyIGZRprFDJWWA1FBCVbV0IUWVALHFRBEwQAQB1AWQkFa3BmamMoXw1WYHR9IXsaQH51cRNlUnUOHjdQGloUARYBXR9eJQITBlYbXxYCGwBlK1sUMllpVCtZFAMRAFEdWREBIgdRE14WBBoCXRxeFAUiAFUSa1FdSlkKG1wRMiI3VitrJQISN1UrBFFfTzdXGloRCw%3D%3D;ayigzrprfdjwwa1fbcvbv0iuwvalhfrbewqaqb1awqkfa3bmammoxw1wyhr9ixsaqh51crnlunuohjdqglouarybxr9ejqitblybxxycgwblk1sumllpvctzfamrafedwrebigdre14wbbocxrxefauiafusa1fdslkkg1wrmii3vitrjqisn1urbffftzdxglorcw%3d%3d;type=autojs;AyIGZRprFDJWWA1FBCVbV0IUWVALHFRBEwQAQB1AWQkrP2VSFEwrfzB1B2ABAAElFnsTUSlkOxkOIgJUGloWBhQPUR5rFQMTBFUfWBULFTdlG1olSXwGZRlaFAEaAF0dUhMyEgBUGVwdAhEAVh5cFzIVB1wrH0paTFhVHF8lMiIEZStrFQIiB2VEH0hfIgVUGl8c;ayigzrprfdjwwa1fbcvbv0iuwvalhfrbewqaqb1awqkrp2vsfewrfzb1b2abaaelfnstuslkoxkoigjuglowbhqpur5rfqmtbfufwbulftdlg1olsxwgzrlafaeaaf0duhmyegbugvwdaheavh5cfzivb1wrh0patfhvhf8lmiiezstrfqiib2veh0hfigvugl8c
pro.jd.com=hao.889dh.com;123.sogou.com
t.vip.com=p8hPVln7sX5;2qGVqJd
www.baidu.com=48020221_19_hao_pg;78000241_41_hao_pg;tn=baidutop
www.so.com=sm2338311
www.sogou.com=121448;AQ7CZ
www.okooo.com=teohaha
cloud.tencent.com=859977645b8fd0a5a0702f8a86527348
buy.cloud.tencent.com=859977645b8fd0a5a0702f8a86527348
www.huaweicloud.com=0ab6ab1f-ec16-4312-9226-b333627a01b6
activity.huaweicloud.com=0ab6ab1f-ec16-4312-9226-b333627a01b6
marketplace.huaweicloud.com=0ab6ab1f-ec16-4312-9226-b333627a01b6
www.ctrip.com=3663278
huodong.taobao.com=mm_816690005_1235300226
sugs.suning.com=hao.889dh.com
如有侵权请联系:admin#unsafe.sh