论一只小强的反抗精神——从逆来顺受到武装抵抗的小强木马
- 2021-05-06 14:38:49
近日,360安全大脑监测到,装机盘恶意驱动XQGuard小强木马有所更新(旧版本小强木马分析报告:),不同于之前怂到遇监控软件和杀软即“自尽”的唯唯诺诺姿态,新版本的小强开始了针对杀软的武装抵抗。
不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。
一.躬耕于黑暗,侍奉于光明——驱动隐藏与回写
“躬耕于黑暗,侍奉于光明”,这是小强的内心独白;“开灯”(开机)就躲避,“关灯”(关机)就显形,这是小强的真实写照。
不同于以往检测到安全工具和杀软才隐藏自己的行为,新的小强驱动,开机加载之后就会当机立断删除自身的注册表和磁盘驱动文件,来隐藏自身。如同白昼的小强们家中缝隙藏身,小强驱动加载后也仅在内存中苟存。
什么?你问小强何以至此?
“打工是不可能打工的,这辈子都不可能打工的,只能靠改改浏览器首页,做做恶意流氓软件捆绑安装之类的,维持一下生活这样子”,委身于黑暗中(内存中)的小强给出了答案,“但是和杀软掐架我又掐不赢的嘛,总得先躲一躲啦。”
随后,为了能在下次受害者机器开机时再次加载,小强注册了一个关机回调,在关机回调中来回写自己的注册表和文件,达到长期驻留的目的。
二.天下风云出我辈,一入江湖岁月催——利益驱动下的杀软对抗
苦于360安全卫士等杀软的查杀,小强被围剿殆尽,脏钱挣得是越来越少了。
某日,小强受到某电影的启发,一跃而起,振臂一呼, “我是想站着,还把钱赚了!” ,开始了挣扎和抵抗。
小强去拜了一个自称复姓慕容的师傅,学了一门“斗转星移”的武功。(小强作者去了一个git开头的网站,抄了些代码。)
新版本的小强开始通过自己依托于装机盘的主场优势,抢先一步注册进程创建回调,来阻止杀软进程,抄来的18般兵器,全招呼上。
小强说,“杀人诛心(杀进程还删文件)。”
首先规则一,判断新进程所在的文件路径,如果该进程在指定杀软目录下,则结束进程,并删除该进程对应的磁盘文件。
命中杀软文件夹规则,则结束杀软进程,并通过下发IRP删除对应文件:
规则二,判断新进程的进程名,如果命中指定的杀软进程名,同样是杀进程删文件。
规则三,计算新进程对应文件的md5,与指定的一批杀软md5比较,命中则杀进程删文件。
规则四,通过数据目录表定位新进程的Security段和Debug段,在这两个段中暴力搜索内存,查找指定杀软的符号信息,命中则杀进程删文件。
同时,小强为了防止进程回调被patch,创建了线程while死循环检测自身进程回调的机器指令,一旦发现进程回调被patch,则立即进行恢复。
所有的这些对抗手段,都是为了完成驱动层通过Apc进行dll注入,达到最终改首页,做软件捆绑挣脏钱的目的。
三.安全建议
以“免费”一键安装,“免费”激活等口号为诱饵,行病毒木马,流氓软件之事的案例屡见不鲜。这些木马篡改浏览器首页,强制下载流氓软件,占用受害者机器资源,影响受害者电脑的日常使用。
但请广大用户无需担心,安装360安全卫士即可对此类木马进行拦截和查杀。希望广大用户保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士(www.360.cn)以及360系统急救箱,皆可查杀木马。