当前位置:安全客 >> 内参详情

老毛桃PE盘工具木马:一款“通杀”浏览器的主页劫持大盗

2017-08-04 19:33:27 阅读:852次 作者:360安全卫士

http://p7.qhimg.com/t01fb6686990f1ce79b.png

最近,360安全中心接到多起网友反馈,称电脑中所有浏览器的主页都被篡改,而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析,这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。

下载该制作工具后,其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时,还会弹出“阻止安装”提示,诱导中招者停止安装。专家进一步分析后发现,该驱动还设置了不少保护措施逃避安全软件查杀,如禁止自身文件和注册表的浏览和读取等。

实际上,“老毛桃”早已退出市场多年。目前市面上可见的“老毛桃”工具都是假的,更有不法分子经常打着“老毛桃”的旗号传播木马。360现已第一时间拦截查杀该木马,以下是360安全中心对该木马的详细分析:


1 下载的安装包


该木马网页利用搜索竞价排名在网上扩散,中招者提供的“带毒”网址如图:

http://p3.qhimg.com/t01903dc8932ec4fc2c.png

 


下载PE后里面会带一个PEINIT,去解压这个PELOAD.7z文件。解压出来的PELOAD.BIN文件是一个叫净网管家的安装包。

该安装包文件为:

 http://p9.qhimg.com/t010beacdb535e5158e.png

然后安装运行后会释放一个  jw开头的随机名驱动。


 http://p7.qhimg.com/t01dce534cabc4f7afe.png


并且会拦截360安全卫士等软件安装。

 

http://p0.qhimg.com/t01556062942fb6a96c.png


2 释放的恶意驱动


2.1 驱动文件信息

该驱动文件签名信息为:

 http://p0.qhimg.com/t01086bf1cb7bd4808a.png

驱动

 

http://p2.qhimg.com/t01192be6aba13fcbd2.png


2.2 驱动初始化

该驱动文件加载后 就向NTFS文件系统发送标记删除命令。

导致任何访问对该文件的访问都会返回STATUS_DELETE_PENDING

创建GUID 设备名 跟应用层交互。

 http://p4.qhimg.com/t0188e7644add0a4dc9.png

注册关机回调

关机回调中回写注册表文件。

 http://p0.qhimg.com/t01f67fb388e317bf8f.png

注册进程回调 模块加载回调 进程回调主要作用为改主页。

并创建系统线程跟服务器,上传信息 ,驱动自我更新。

http://p6.qhimg.com/t01b57db27c055cc2c8.png

注册注册表回调保护自身服务项。

 http://p1.qhimg.com/t016f5f3b5c26599cfa.png

2.3 进程回调  修改PEB中进程命令行

获取进程PEB信息:  

 

http://p0.qhimg.com/t0147a2a7f176c1f973.png

判断是否为浏览器进程:


 http://p8.qhimg.com/t018c653645712d6029.png


为通配判断。


 http://p8.qhimg.com/t01fb056bddbcad1199.png


判断父进程

http://p0.qhimg.com/t016d54e3ecc941a715.png

拼接命令行

 

http://p3.qhimg.com/t01390827abd7a41a7d.png

拼接后网址为

http://dh936.com/?00804

然后追加到进程路径信息后面 , 修改PEB中ProcessParameters 进程命令行。

 http://p5.qhimg.com/t011196f7e456eaf899.png

为了使改首页有效 还必须屏蔽网盾模块,

网盾模块主要是两处屏蔽, 一处为文件过滤驱动屏蔽, 另外一处为进程模块加载Patch。

2.4 文件过滤驱动

 http://p2.qhimg.com/t01b5746ea6bbc2060c.png

相关函数为:

 http://p1.qhimg.com/t01671e3c542c4a810c.png

如果是禁止文件列表,  则直接禁止打开。


 http://p2.qhimg.com/t01eb2e3f59c0ceb79e.png

匹配成功则返回1


2.5 模块加载回调

主要是判断浏览器进程

 http://p0.qhimg.com/t01361e98610958e104.png

发现如果是网盾模块加载则Patch入口点。

网盾模块列表:

 http://p9.qhimg.com/t019e166955c57114a1.png

Patch代码

 http://p4.qhimg.com/t01d2fc89955b8aefdf.png

http://p2.qhimg.com/t019660504803fcb1e2.png

2.6 注册表回调

主要是防止自身注册表被访问,被删除,被枚举。

 http://p9.qhimg.com/t010fb0a1cdc3f8376b.png

发现删除为自身项目  直接返回拒绝

 http://p2.qhimg.com/t01f159d0128233b624.png

枚举时候检测是否为自身注册表  如果是则隐藏。

 http://p4.qhimg.com/t016dff88dc1b929ea6.png

2.7 系统线程

主要是网络上传和更新

发送putlog信息:

http://p0.qhimg.com/t016ad99fc77a9e28ac.png

接受数据包

http://p1.qhimg.com/t012e1ea34f195df590.png

上传用户隐私信息还有安装杀毒软件信息。

 http://p2.qhimg.com/t01c9bb8c66f93b5c8f.png


360安全卫士已支持该木马查杀,建议各位通过360软件管家或其他正规渠道下载类似的软件工具。


 http://p6.qhimg.com/t01d83594456e14b0e6.png



本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/207.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论