网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

DBNT云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 90|回复: 0

[转载] 盘一盘2018年那些难缠的顽固病毒木马- [下篇]

[复制链接]
匿名
匿名  发表于 2019-2-28 18:46:52 |阅读模式
典型案例

2018年下半年最为活跃的Rootkit病毒家族为独狼家族,仅腾讯电脑管家进行批露的独狼家族相关的病毒感染事件就有3例,传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具,从主页锁定,刷量获利到传播盗号木马,到强力破坏杀毒软件功能,可谓是无恶不作。

1. 独狼Rootkit病毒家族

独狼一代病毒家族最早由腾讯电脑管家于2018年6月披露,独狼一代其传播渠道主要是Ghost系统。腾讯御见威胁情报中心已在不同的Ghost系统中捕获到多个“独狼”系列Rootkit,包括Jomalone系列,chanel系列,Msparser系列,Wdfflk系列,在不同的Ghost系统里会以固定的服务名(如Jomalone)启动,每个系列有多个变种。

独狼系列其PDB信息都是PASS Through.pdb(过滤),都是一个过滤型驱动,具有完善的过滤架构,包括文件过滤、网络过滤、进程创建过滤、注册表过滤、模块加载过滤等。这四个系列中出现最早的是在2017年10月。此外其签名信息都有着高度关联性。

独狼系列出现时间文件签信息

独狼二代重新拓展了传播渠道,并且各个病毒模块功能都得到进一步改进,传播渠道由单一的Ghost盗版系统传播演变为假冒系统激活工具传播。主要通过静默推广安装浏览器获利,并会锁定23款浏览器主页,将浏览器地址栏锁定为带推广渠道号的网址导航站,和独狼一代一大区别为从纯Rootkit驱动劫持首页,转变为内存解密Payload结合浏览器注入实现,此外还会静默推装浏览器

独狼系列病毒静默安装的浏览器

独狼系列最新变种,会通过“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件传播盗号木马,该木马累计已感染超过5万台电脑。软件运行后会首先下载伪装成WPS的病毒,再下载安装“独狼”Rootkit病毒,最终进行营销推广、恶意推装更多软件来获利。

木马作者疑似伪造“北京方正阿帕比技术有限公司”的相关信息,申请了正规的数字签名,该病毒文件会下载Steam盗号木马,因病毒程序拥有合法数字签名导致多款杀毒软件未及时查杀,这是该病毒感染超过5万电脑的重要原因。

参考链接:

酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号木马

独狼木马执行流程

2. 暗云木马

暗云家族最早由电脑管家于2015年进行披露,18年9月国内安全厂商披露了暗云变种“隐匿者”转投挖矿,病毒暴力破解用户数据库入侵电脑,MBR感染代码获得执行后将恶意代码注入到系统进程中(winlogon或explorer进程),最终恶意代码会下载后门病毒到本地执行,后门病毒会下载执行挖矿相关病毒模块,挖取门罗币。


腾讯御见威胁情报中心2018年12月监控到暗云最新动态,和Mykings僵尸网络木马捆绑传播,通过MS SQL SEVER弱密码入侵用户机器成功后会执行远程脚本命令,远程脚本执行后会下载多个木马文件到本地执行包括暗云感染器、Mykings僵尸网络木马、Mirai僵尸网络木马。和以往的暗云系列相比,主要变化包括会强制结束包括管家、360等杀软进程,随后注入应用层的payload会根据云端配置文件进行主页锁定及下载执行木马病毒等功能。(参考链接:[5])

弱口令爆破SQL Server服务器,暗云、Mykings、Mirai多个病毒家族结伴来袭

暗云配置文件

3. 隐魂木马家族

隐魂系列最早于2017年进行披露,和暗云系列最大区别为payload的存储区域及hook流程有着较大差异,暗云payload存储在3到63扇区,而隐魂系列存储在磁盘末尾。

隐魂系列最新变种“隐蜂”其主要的变现方式也是挖矿,“隐蜂”挖矿木马在R3层的框架设计比较复杂,整个R3层解压后的模块配置文件总数多达30+,同时引入LUA脚本引擎实现灵活的策略控制。

隐魂木马挖矿策略配置

4. 外挂幽灵团伙

2018年10月腾讯御见披露了外挂幽灵团伙,主要通过七哥辅助网(www.52wzlt.cn)、我爱辅助网(www.50fzw.com)等多个游戏辅助工具(外挂)网站传播“双枪”、“紫狐”等木马。

这些网站提供的多款游戏外挂工具中被捆绑多个恶意程序,主要包括锁主页程序、“双枪”病毒家族和“紫狐”木马家族等等,两个病毒家族影响了全国数以万计的电脑。

参考链接:

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手

游戏外挂捆绑的木马

紫狐是一类利用系统正常”Pending File Rename Operations”机制替换系统文件,实现开机自动启动加载驱动(自动下载软件)的恶意木马,此外木马还会会进行多次删除替换,来创建多次进程链实现断链防止查杀,木马运行后会联网下载推广安装软件来获利。

安装文件

双枪木马是一类会感染MBR及VBR的Bootkit病毒家族,2018年8月电脑管家监测到该家族新变种,多个外挂网站会传播双枪木马,包括屠城社区、七哥辅助网等,这些网站提供的多款游戏外挂程序中会捆绑安装一款名为“开心输入法”的违规软件,“双枪”木马下载器就隐藏在这款输入法中。

中毒电脑的浏览器主页被锁定为带有“39201”计费编号的网址导航站,同时“双枪”木马变种还会在系统预留后门以窃取用户敏感信息,另外会切断主流杀毒软件的联网功能,会造成杀毒软件升级更新、下载病毒库、下载附加组件、云查杀等等关键功能均被破坏。

“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法

双枪木马感染流程

5. 血狐木马

血狐木马通过二次打包并借用第三方渠道假冒传奇微端传播,携带正规白签名,且签名厂商直接伪装国内某知名游戏公司,以此获得渠道商的信任,并因为拥有合法数字签名而容易欺骗杀毒软件。

当用户在电脑安装这个假冒的传奇微端时,病毒随即释放安装血狐Rootkit。当中毒电脑用户启动浏览器访问搜索引擎网站和电商网站时,浏览器URL均被劫持到含病毒作者推广ID的链接,至此,中毒用户的每次访问,均会给病毒作者带来佣金收入。

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2019-3-22 20:20 , Processed in 0.173558 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表