近期,360安全中心接到大量用户反馈,电脑出现浏览器主页被篡改,必应搜索莫名其妙跳转到百度页面等现象,经过我们分析之后,发现是感染了Netfilter病毒新变种。
通过溯源发现,该病毒伪装成KMSpico激活工具在下载站进行传播,感染用户机器后会篡改各大主流浏览器的配置文件,从而实现主页锁定和默认搜索引擎劫持的病毒逻辑,并且释放病毒驱动,实现必应等 站流量劫持的目的。
传播途径
详细分析
KMSpico.exe
原始的病毒文件是一个NSIS安装包,安装包目录如下图所示:
在运行后会先查找各主流杀毒软件的进程是否存在,如果存在则会提示用户退出杀毒软件,以防止在释放病毒驱动时被杀毒软件查杀。如果不存在杀毒软件进程,则会调用7zip主进程解压kms.dat文件并执行其中的kms.exe,解压密码为”aabbccdd”。检测的杀毒软件进程列表,如下图所示:
病毒执行逻辑如下图所示:
kms.exe也是NSIS安装包,安装包中包含原始KMSpico激活工具,病毒驱动以及各大主流浏览器配置文件。安装包目录如下图所示:
包含下列浏览器的配置文件:
· 劫持主页
Firefox浏览器:
Chrome系列浏览器:
· 搜索引擎
Firefox浏览器:
Chrome系列浏览器:
· 收藏夹
该病毒还会将QQ浏览器的FavouriteTabDefault选项进行篡改,其中包括爱淘宝,龙珠直播,百度等 站。
驱动分析
病毒驱动通过对象劫持隐藏自身驱动信息,躲避分析与查杀,如下图所示:
利用ARK工具可以检测到两个fltmgr.sys内核模块:
病毒驱动通过注册映像加载回调,在svchost.exe进程加载ntdll.dll模块时,将病毒动态库注入到svchost进程的内存中,并且挂钩NtTestAlert函数,获得病毒代码的执行权限。注入逻辑,如下图所示:
当NtTestAlert挂钩被触发后会跳转到shellcode1进行执行,shellcode1会先恢复NtTestAlert位置的钩子,并调用shellcode2。
shellcode2会创建一个新线程,调用病毒动态库入口。代码逻辑,如下图所示:
病毒动态库
该动态库是Netfilter病毒新变种,在Netfilter原有的 络过滤功能之上,增加了劫持根证书和HTTPS流量过滤的功能。与旧版本Netfilter病毒部分数据对比,如下图所示:
当病毒动态库运行时,会使用病毒携带的根证书替换浏览器原来的根证书,证书名称为”Verisign”,相关代码,如下图所示:
替换前后证书对比:
被注入的svchost.exe进程会绑定一个本地监听端口,以代理的形式将浏览器的https流量重定向到此端口,以中间人劫持的方式篡改等 站的搜索请求,将其篡改为百度搜索,并增加推广 (tn=94949583_hao_pg)刷取流量。利用fiddler观察流量劫持流程,如下图所示:
查杀建议
1, 激活工具和破解软件近些年来一直都是病毒木马传播的绝佳途径,为了保护用户隐私和计算机安全,建议广大用户不要使用此类软件。
2, 目前360安全卫士以支持此类病毒查杀,如果浏览器主页被锁定为,或者电脑出现必应搜索跳转到百度 站的现象,建议安装360安全卫士进程查杀。
下载地址:
文中涉及到的样本:
MD5:40b212e5a0f7d1a7b5bf58518009ab35
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!