近期,大量 友反映他们电脑的主页遭到大范围的篡改,经过360安全中心专家的分析,确定这是一起假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。
目前,360已经对这个木马病毒进行了拦截和查杀,以下便是它们对这个木马病毒的详细解读:
1下载的安装包
下载PE后里面会带一个
PEINIT,去解压这个PELOAD.7z文件。解压出来的PELOAD.BIN文件是一个叫净 管家的安装包。
然后安装运行后会释放一个 jw开头的随机名驱动。
2 释放的恶意驱动
2.1 驱动文件信息
该驱动文件签名信息为:
驱动
2.2 驱动初始化
注册关机回调
关机回调中回写注册表文件。
注册进程回调模块加载回调 进程回调主要作用为改主页
并创建系统线程跟服务器上传信息 驱动自我更新
注册注册表回调保护自身服务项。
2.3 进程回调 修改PEB中进程命令行
获取进程PEB信息:
判断是否为浏览器进程:
拼接命令行
拼接后 址为
http://dh936.com/?00804
然后追加到进程路径信息后面, 修改PEB中ProcessParameters进程命令行。
为了使改首页有效还必须屏蔽 盾模块。
2.4 文件过滤驱动
如果相关函数是禁止文件列表, 则直接禁止打开。
匹配成功则返回1
2.5 模块加载回调
发现如果是 盾模块加载则Patch入口点。
盾模块列表:
Patch代码
2.6 注册表回调
主要是防止自身注册表被访问,被删除,被枚举。
发现删除为自身项目 直接返回拒绝
枚举时候检测是否为自身注册表 如果是则隐藏。
2.7 系统线程
主要是 络上传和更新
发送putlog信息:
接受数据包
上传用户隐私信息还有安装杀毒软件信息。
360安全卫士已支持该木马查杀,建议各位通过360软件管家或其他正规渠道下载类似的软件工具。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!