原标题:专业剖析爱改首页的小易木马
近期,360安全大脑监测到一类 导致蓝屏的驱动木马现身网络,该木马以 不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵受害者电脑, 篡改浏览器首页, 捆绑安装流氓软件, 窃取用户机器信息,并导致win10机器触发 “CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。

鉴于此类下载器会同时 捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“ 小易木马”。
不过广大用户无需担心, 360安全卫士即可对此类木马的拦截和查杀。

驱动木马功能分析
01
首页篡改与Win 10 蓝屏触发
此类下载器会 释放安装恶意驱动,该驱动木马早期版本篡改浏览器首页为hxxps://www.2345.com/?39403等地址。

同时,该恶意驱动还会导致win10系统触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏,蓝屏的原因在于,该木马加载运行后在内存中 暴力断链隐藏自身,并将一个不属于任何模块的注册表回调CmpCallback(早期版本还有一个模块加载回调LoadImage) 驻留在内存中,这两点都会触发win10 PatchGuard内核保护机制导致蓝屏。

木马回调触发PatchGuard内核保护引起蓝屏
02
暴力断链隐藏模块
该驱动木马通过操作 内核模块ldr双向链表,将自己的 驱动模块从双向链表中移除,并将自身 驱动对象的各个字段清0,以此对抗安全工具和杀软对驱动模块的查杀。


03
劫持文件系统隐藏文件
该驱动木马通过 劫持文件系统,来 过滤文件请求操作,从而达到 隐藏自己驱动文件的目的。
木马会对IRP_MJ_CREATE,IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_SET_INFORMATION这三种类型的IRP进行过滤;
其中处理IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION IRP的派遣例程负责文件隐藏和防删除保护,处理IRP_MJ_DIRECTORY_CONTROLIRP的派遣例程负责文件隐藏保护。

例如对于IRP_MJ_CREATE类型IRP的处理中,会判断文件操作的目标是否命中驱动木马文件,如果命中则返回STATUS_OBJECT_PATH_NOT_FOUND错误码拒绝访问,从而达到 隐藏保护文件的目的。其对应的反汇编代码下图所示:

04
注册回调挂钩函数保护注册表
木马的注册表回调用于 保护其驱动对应注册表不被删改,对于低版本的系统,木马还会挂钩系统GetCellRoutine函数来 保护自身注册表。
其注册表回调的过滤方式是:如果打开和枚举操作的线程不是木马自己的线程,并且目标注册表键,命中木马自己自身注册表键,则拒绝访问。

并且对于win7及其之前的系统,则以 硬编码方式获取GetCellRoutine函数地址,并挂钩该函数,以保护自己的注册表。
在挂钩函数中,木马判断如果注册表的操作线程不是木马自己的线程,则 进行过滤操作:木马判断操作的目标注册表节点是否命中自己的注册表节点,如果命中的话,则 返回空数据以隐藏自己。

同时,木马在注册表回调中判断自己的GetCellRoutine函数钩子是否被移除,如果被移除的话,则 再次进行挂钩。

05
内核dll注入explorer
在该木马的 旧期版本中,还有通过 模块加载回调patch ZwTestAlert系统函数,将木马DLL注入到explorer进程的功能。
其详细过程为:木马通过LoadImage模块加载回调,过滤explorer进程对ntdll模块的加载,挂钩ntdll加载过程中调用到的ZwTestAlert函数,即patch ZwTestAlert函数的前5个字节,从而跳转到explorer进程空间内木马写入的一段shellcode,再通过这段shellcode调用LdrLoadDll加载内嵌在驱动文件中的木马dll,以完成对explorer进程的dll注入。
模块加载回调中判断explorer进程加载ntdll模块:

获取ZwProtectVirtualMemory,LdrLoadDll,ZwTestAlert函数地址,分别用于:修改explorer进程内存属性写入shellcode;shellcode中通过LdrLoadDll函数地址加载木马dll;挂钩ZwTestAlert函数patch前5字节构建相对跳转指令作为跳板,调用到shellcode.

06
受害者信息回传与后门常驻
该木马驱动加载后,会向木马C&C服务器 回传统计受害者用户基本信息,并以此驱动作为入侵受害者机器的基石, 进一步榨取受害者机器剩余价值,例如可能通过木马服务器,进一步捆绑安装狗皮膏药类的流氓软件等。

安全建议
打着“免费”激活,“免费”软件等的旗号,行病毒木马,流氓软件之事的案例屡见不鲜。但请广大用户无需担心, 360安全卫士即可对此类木马进行拦截和查杀。同时在此推荐广大用户 通过 360软件管家下载安装正规软件 。
希望广大用户不要抱有侥幸等心理,无视360安全卫士的网址拦截与木马运行拦截,保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装 360安全卫士以及 360系统急救箱,皆可查杀木马。
360官网:
http://www.360.cn
360系统急救箱下载链接:
责任编辑: