當前位置:
首頁 > 最新 > Rootkit病毒「獨狼2」假冒激活工具傳播,鎖定23款瀏覽器主頁,已感染上萬台電腦

Rootkit病毒「獨狼2」假冒激活工具傳播,鎖定23款瀏覽器主頁,已感染上萬台電腦

最新 08-15

0x1 概述

「獨狼」Rootkit系列病毒是一個鎖主頁的病毒家族,該病毒長期依賴盜版Ghost鏡像文件傳播,衍生出眾多變種。今年6月份,騰訊御見威脅情報中心曾對「獨狼」Rootkit後門病毒進行過披露,其通過盜版Ghost系統傳播,劫持了包括谷歌,火狐,IE瀏覽器等在內的23款主流瀏覽器主頁,並且能夠干擾主流殺毒軟體的正常運行。

騰訊御見威脅情報中心監控發現,「獨狼」Rootkit家族變種近期重新拓展了傳播渠道,並且各個病毒模塊功能都得到進一步改進。主要變化為:

Rootkit文件名隨機化

所有用到的明文字元串均進行了自定義加密

增加內核調試檢測

從純Rootkit驅動劫持首頁,轉變為內存解密Payload結合瀏覽器注入實現

增加了完善的自更新功能和後門功能

傳播渠道由單一的Ghost盜版系統傳播演變為假冒系統激活工具傳播

鑒於此,騰訊御見威脅情報中心將此次發現的「獨狼」變種命名為「獨狼2」病毒,目前監測系統統計到該變種已感染上萬台電腦。

御見威脅情報中心曾多次提醒用戶不要隨意下載使用某些Windows盜版激活工具,這類工具中極易隱藏病毒木馬,在這些工具的下載頁面,還會誘導、欺騙用戶關閉殺毒軟體後運行,而這次傳播病毒的激活工具根本沒有激活Windows的功能。

0×2 威脅等級(中危)

危害評估:★★★★☆

病毒通過靜默推廣安裝瀏覽器獲利,並會鎖定23款瀏覽器主頁,將瀏覽器地址欄鎖定為帶推廣渠道號的網址導航站,這是病毒最常見的牟利手段。

不僅如此,Rootkit病毒具備系統最高許可權,類似遠程控制木馬,病毒控制者隨時可以採取危害更嚴重的行動。

影響評估:★★★☆☆

除原有的通過Ghost鏡像傳播外,病毒還會假冒Windows激活工具傳播,變種感染量已過萬。

技術評估:★★★★☆

Rootkit病毒技術含量較高,有一定的反調試和對抗安全軟體的能力。

0x3 影響面

危害Windows系統,目前變種的感染量過萬。全國各地均有分布,廣東、江蘇、四川居感染量前三。

0x4 傳播渠道分析

「獨狼2」的病毒母體為經過偽裝的某激活工具,其在搜索引擎結果頁中購買了排名第一的廣告位,擁有不容小覷的下載流量。

(搜索關鍵詞「激活工具」,在結果頁居首個推薦位)

(官網介紹的多款激活工具)

(所有工具鏈接實際均為同一的下載地址)

(下載文件均為小馬激活666激活程序)

(「獨狼2」感染態勢分布)

0×5 樣本分析

Xiaoma-666.exe

Xiaoma-666.exe運行後會釋放運行2個文件,一個為瀏覽器安裝包(靜默推裝牟利),另一個為svchost文件(同樣為Dropper木馬),負責釋放安裝Rootkit模塊。同時還會檢測安全軟體進程,並嘗試向進程窗口發送WM_QUIT消息。

檢測安全軟體進程列表

靜默安裝的瀏覽器

Svchost.exe

Svchost.exe負責創建安裝隨機名的Rootkit模塊

獨狼2---隨機名SYS安裝成功

Rootkit

與之前發現的「獨狼」木馬相比,此次Rootkit變種對抗部分基本無變化,主要創建Minifilter文件過濾系統、tdi網路過濾系統、註冊表回調來分別進行安全軟體文件訪問對抗,安全軟體部分網路請求攔截,自身註冊表保護。

不同之處為所有使用到的明文字元串都進行了自定義加密,此部詳細分析可閱讀《盜版Ghost系統攜「獨狼」Rootkit來襲》一文。

模塊內解密函數引用237次

KdDebuggerEnabled內核調試檢測

代碼流程中多處校驗判斷是否處於調試狀態

驅動經內存解密出PE_DLL文件

解密出要注入進程列表

插APC注入

由於注入了瀏覽器進程,該模塊後續所有產生的所有異常行為也更加隱蔽,不易發現。

將感染信息上報到tj678

DownLoader功能代碼

自更新代碼

劫持主頁實現通過退出當前進程,讀取外部配置文件獲取劫持URL,命令行二次啟動瀏覽器實現。劫持邏輯中會判斷當前進程是否為瀏覽器進程,當前進程父進程是否為桌面管理類進程,如果不滿足條件,則不進行劫持流程。

解密判斷當前進程是否為劫持進程

解密判斷父進程是否異常

帶參重啟瀏覽器劫持主頁

劫持命令行地址通過讀取外部配置文件獲取

運行瀏覽器後首先劫持到123dh,最終跳轉到帶推廣渠道號的導航站主頁。

0×6 安全建議

激活工具、Ghost鏡像歷來都是Rootkit病毒傳播的重要渠道,「獨狼」Rootkit系列病毒具有隱蔽性強,反覆感染,難查殺的特點。建議用戶使用正版操作系統,從官方渠道下載激活工具,使用騰訊電腦管家可全面攔截「獨狼」系列病毒。

不幸中招的用戶,可使用電腦管家急救箱功能,徹底查殺Rootkit病毒。

IOCs

md5

f19a0c61d5a638d3b286b8e2e9477310

d66d79f1a68f83b8ff5285ac1bb975be

f659e6bd46308d06e6df2bf8659fdc2c

e1919b727b78e4c06a5c51a7f580ce31

fa38381c4027882da72391a8503065de

268a0ef76b2c964e883188fe2ca78200

e19bbc1a804349aaf18461a48072e65e

感染信息上報域名

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 騰訊御見威脅情報中心 的精彩文章:

利用Apache Struts2高危漏洞入侵伺服器,植入KoiMiner挖礦木馬,新手作者也能每天賺1個門羅幣

TAG:騰訊御見威脅情報中心 |