论一只小强的反抗精神——从逆来顺受到武装抵抗的小强木马
噗哈下载 发布:2021-06-03 262
近日,360安全大脑监测到,装机盘恶意驱动XQGuard小强木马有所更新(旧版本小强木马分析报告:
https://bbs.360.cn/forum.php?mod=viewthread&tid=15963031&highlight=%E5%B0%8F%E5%BC%BA),不同于之前怂到遇监控软件和杀软即“自尽”的唯唯诺诺姿态,新版本的小强开始了针对杀软的武装抵抗。
不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。
一.躬耕于黑暗,侍奉于光明——驱动隐藏与回写
“躬耕于黑暗,侍奉于光明”,这是小强的内心独白;“开灯”(开机)就躲避,“关灯”(关机)就显形,这是小强的真实写照。
不同于以往检测到安全工具和杀软才隐藏自己的行为,新的小强驱动,开机加载之后就会当机立断删除自身的注册表和磁盘驱动文件,来隐藏自身。如同白昼的小强们家中缝隙藏身,小强驱动加载后也仅在内存中苟存。
什么?你问小强何以至此?
“打工是不可能打工的,这辈子都不可能打工的,只能靠改改浏览器首页,做做恶意流氓软件捆绑安装之类的,维持一下生活这样子”,委身于黑暗中(内存中)的小强给出了答案,“但是和杀软掐架我又掐不赢的嘛,总得先躲一躲啦。”
随后,为了能在下次受害者机器开机时再次加载,小强注册了一个关机回调,在关机回调中来回写自己的注册表和文件,达到长期驻留的目的。
苦于360安全卫士等杀软的查杀,小强被围剿殆尽,脏钱挣得是越来越少了。
某日,小强受到某电影的启发,一跃而起,振臂一呼, “我是想站着,还把钱赚了!” ,开始了挣扎和抵抗。
小强去拜了一个自称复姓慕容的师傅,学了一门“斗转星移”的武功。(小强作者去了一个git开头的网站,抄了些代码。)
新版本的小强开始通过自己依托于装机盘的主场优势,抢先一步注册进程创建回调,来阻止杀软进程,抄来的18般兵器,全招呼上。
小强说,“杀人诛心(杀进程还删文件)。”
首先规则一,判断新进程所在的文件路径,如果该进程在指定杀软目录下,则结束进程,并删除该进程对应的磁盘文件。
命中杀软文件夹规则,则结束杀软进程,并通过下发IRP删除对应文件:
规则二,判断新进程的进程名,如果命中指定的杀软进程名,同样是杀进程删文件。
规则三,计算新进程对应文件的md5,与指定的一批杀软md5比较,命中则杀进程删文件。
规则四,通过数据目录表定位新进程的Security段和Debug段,在这两个段中暴力搜索内存,查找指定杀软的符号信息,命中则杀进程删文件。
同时,小强为了防止进程回调被patch,创建了线程while死循环检测自身进程回调的机器指令,一旦发现进程回调被patch,则立即进行恢复。
所有的这些对抗手段,都是为了完成驱动层通过APC进行dll注入,达到最终改首页,做软件捆绑挣脏钱的目的。
三.安全建议
以“免费”一键安装,“免费”激活等口号为诱饵,行病毒木马,流氓软件之事的案例屡见不鲜。这些木马篡改浏览器首页,强制下载流氓软件,占用受害者机器资源,影响受害者电脑的日常使用。
但请广大用户无需担心,安装360安全卫士即可对此类木马进行拦截和查杀。希望广大用户保持360安全卫士的常驻保护,警惕360安全卫士所拦截的危险行为。中毒用户亦可下载安装360安全卫士(www.360.cn)以及360系统急救箱,皆可查杀木马。
- 上一篇:相机助手
- 下一篇:企业如何布局人工智能并从中获取价值
相关推荐
- 手游排行榜
- 热门攻略
-
- 02-10刀剑英雄蚩炎城火城鼎石任务攻略
- 06-03脑洞大侦探游戏男女打不开门怎么过?解谜游戏男女图文通关攻略
- 06-03迷你世界白光莹激活码永久最新2021!白光莹兑换码可重复使用
- 06-03王者荣耀鹰眼护卫队怎么喊话?鹰眼护卫队日喊话次数是什么意思
- 02-10刀剑英雄蚩尤雷骨出处,怎么获得?
- 02-10刀剑英雄演武凭证合成
- 06-03战神遗迹神器冥想之窟怎么过?神器冥想之窟石板通关攻略
- 02-06烟雨江湖南宫仙羽听琴是支线吗
- 02-27部落与弯刀毒蝎比武大会帮谁好?
- 06-03机动战姬聚变礼包兑换码最新ios公测大全!礼包码在哪里输入怎么用