信息來源:4hou
一、概述
騰訊安全御見威脅情報(bào)中心檢測到一名為updataxx.rar的驅(qū)動(dòng)型木馬捆綁在流行游戲外掛中傳播�。該木馬頻繁更新躲避殺毒軟件查殺�,木馬內(nèi)置多個(gè)網(wǎng)址提供自更新服務(wù)�。該木馬的主要危害是進(jìn)行主頁劫持�,劫持的網(wǎng)址列表從云端配置文件獲取。但由于每次開機(jī)啟動(dòng)都會(huì)進(jìn)行自更新�,不排除后期拉取其他惡意功能的代碼執(zhí)行,潛在危害較大�。該木馬近期活躍性上升,疑與電商購物節(jié)之前劫持用戶瀏覽器導(dǎo)流獲利有關(guān)�。
騰訊安圖關(guān)聯(lián)數(shù)據(jù)顯示,該系列木馬驅(qū)動(dòng)的多個(gè)自更新網(wǎng)址注冊時(shí)間都是2018年年底�,如yun.521drive.com、go.gengxinsys.com注冊時(shí)間為2018年12月�;bb.niuqudong.com注冊時(shí)間為2018年11月,從今年4月份開始活躍�,累計(jì)已有上萬臺(tái)機(jī)器被感染。
二、詳細(xì)分析
該木馬驅(qū)動(dòng)文件具有數(shù)字簽名:金華米粒網(wǎng)絡(luò)技術(shù)服務(wù)有限公司�,該簽名被Rootkit病毒頻繁使用,目前該簽名已經(jīng)失效�。
1�、備份多個(gè)地址自更新
木馬驅(qū)動(dòng)開機(jī)加載后,會(huì)聯(lián)網(wǎng)獲取最新版本實(shí)現(xiàn)自更新�。病毒內(nèi)置多個(gè)更新地址,根據(jù)系統(tǒng)版本選擇下載32/64位的驅(qū)動(dòng)進(jìn)行安裝更新。
部分自更新地址如下:
· hxxp://go.gengxinsys.com/updata32.rar
· hxxp://go.gengxinsys.com/updata64.rar
· hxxp://my.51years.com/updata32.rar
· hxxp://my.51years.com/updata64.rar
· hxxp://ss.wanqudong.com/updata32.rar
· hxxp://ss.wanqudong.com/updata64.rar
2、主頁劫持
注冊了進(jìn)程創(chuàng)建回調(diào)�,當(dāng)檢測到瀏覽器進(jìn)程啟動(dòng)時(shí)則進(jìn)行命令行篡改。對市面上主流的瀏覽器都進(jìn)行了劫持�,包括ie,谷歌,火狐�,QQ瀏覽器等。
對瀏覽器進(jìn)程進(jìn)行檢測匹配:
劫持主頁的網(wǎng)址聯(lián)網(wǎng)獲取,配置文件下載地址: hxxp://ss.wanqudong.com/listh.rar�,下載回來的配置文件經(jīng)過了加密,解密后的網(wǎng)址:hxxp://www.0kl6wc.cn/,配置文件里的網(wǎng)址變換頻繁。
3、解密算法:
跳轉(zhuǎn)到劫持導(dǎo)航頁,目前配置文件里劫持的導(dǎo)航頁為游戲資訊站�。
4�、聯(lián)網(wǎng)獲取配置文件
聯(lián)網(wǎng)獲取多個(gè)配置文件,除了上文提到的主頁劫持配置文件listh.rar及自更新文件updata32.rar, 還有游戲網(wǎng)址xinlistj.rar�,游戲外掛及病毒文件MD5列表md5exe.rar,
exe特征碼exeFeaturecode.rar等等。
xinlistj.rar,md5exe.rar�,listh.rar都經(jīng)過 加密�,解密算法和上文解密劫持網(wǎng)址的一樣�。解密后的游戲外掛及病毒文件MD5列表:
5、自保護(hù)
該木馬病毒通過多種方式實(shí)現(xiàn)自保護(hù)�,包括:
注冊關(guān)機(jī)回調(diào),在關(guān)機(jī)或重啟機(jī)器時(shí)重寫注冊表及文件�,實(shí)現(xiàn)文件路徑及服務(wù)名隨機(jī)化,以加大發(fā)現(xiàn)查殺難度�。
映像劫持,將自身文件重定向到微軟正常的系統(tǒng)文件�,查看文件信息帶有微軟簽名。
將驅(qū)動(dòng)服務(wù)啟動(dòng)組Groups設(shè)置為System Reserved及啟動(dòng)類型為Boot型�,實(shí)現(xiàn)開機(jī)搶先加載。
三�、安全建議
1.游戲外掛一直都是各種頑固病毒木馬傳播的溫床,建議游戲玩家謹(jǐn)慎使用�。
2.保持殺毒軟件的實(shí)時(shí)防護(hù)處于開啟狀態(tài)。
