u盘文件突然多了几个文件,随后360显示感染木马

来源:蜘蛛抓取(WebSpider) 时间:2018-08-08 14:40 标签: u盘文件损坏
京公网安备:86 京ICP证120823号  京网文【-054号 密室内的枪声!“双枪2”木马感染过程实录
去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。(http://www.freebuf.com/articles/web/140113.html)今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。
与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。
与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如设置了封闭的案发环境,对中招电脑进行了一次“密室枪杀”。
以下是对“双枪2”感染过程的详细分析。
安装包过程 1.1初始化配置
用户提供的样本安装包,安装包是带渠道号的,运行这个安装包后就会从网上下载一个DLL文件内存执行,下面是下载DLL文件并内存加载执行的流程:
安装包入口函数:
该函数主要为获取ChannelId 并且设置上:
从文件名中获取:
而后设置到注册表中,后续服务器通信,打点回传都会用到该数据。
而后调用下载DLL的函数:
1.2读取解析服务配置
格式化通信数据:
而后加密数据发送给服务器:
然后下载解析服务器返回的配置文件,服务器有判断客户端IP的,测试北京的IP返回空数据:
解析配置文件:
1.3下载加载释放驱动模块
获取到配置中下载URL后,下载对应的DLL文件:
下载好后 计算下md5 跟配置文件中是否一致
相同后解密数据加载:
如果不是PE头,则异或解密:
修正导入表函数并且调用:
调用入口点函数:
而后调用导出函数DllUpdate:
释放安装驱动模块 2.1 环境检测
该模块为一个DLL主要导出一个功能函数DllUpdate。
函数入口处先进行打点统计将统计数据打到服务器。
该函数被调用了很多次,几乎每个关键的步骤都有打点统计
我们看下这个函数:
服务器地址为:
而后发送请求:
打点后,会对当前环境进行多次判定,决定而后否加载驱动:
判断是否支持的文件系统和对应驱动文件是否完整,区分当前系统X86还是X64:
其中IsWow64Process 为全局构造函数中初始化的:
判断文件系统对应文件完整性:
而后判断系统目录下配置文件是否存在:
而后检测自身驱动是否已经加载,通过判断设备名是否存在。
获取Nt基地址模块大小为生成随机设备名做准备:
生成设备名:
判断设备名存在:
然后检测是否在虚拟机中运行, 这次主要是检测磁盘类型:
2.2 下载安装恶意驱动
主要是从服务器下载驱动文件
区分32和64位系统 。
获取渠道号:
以安装包_后面带_或者.后面的数字作为推广渠道号:
初始化校验Key方法:
然后下载驱动文件:
下载好后校验下文件:
然后初始化驱动安装加载系统函数相关代码:
获取当前时间,并以这个计算随机驱动 文件名:
获取随机驱动名:
然后在安装驱动之前再检测下环境:
检测这些工具:
检测完成后,开始安装驱动,以32,64系统分别安装:
我们看下X86安装下函数:
然后写人驱动文件:
每次0×2000个字节,循环写入:
然后写入服务项:
在完成驱动加载功能后,该模块还带有接受服务器指令,统计上传客户端信息,并执行恶意代码能力:
内存加载执行功能:
加载执行DLL:
收集用户网卡MAC机器PCID各种信息:
统计用户机器上私服相关驱动:
统计杀软信息:
检测是否运行在VMVare中:
针对MBR和VBR系列木马泛滥的情况,360首创了针对此类顽固木马的强力查杀技术,并且能够同时自动检测和修复MBR及VBR ,发现电脑浏览器主页被反复篡改无法恢复、或出现卡慢等情况时,可使用360安全卫士进行扫描查杀,彻底清除该木马。
360安全中心在此也提醒大家,尽量不要下载来历不明的软件安装,更不要轻易关闭杀软,给恶意木马可趁之机。目前,360安全中心也正在对“双枪2”木马进行持续追踪,如有新成果将第一时间与大家分享。
*本文作者:360安全卫士,转载请注明来自FreeBuf.COM
责任编辑:
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
今日搜狐热点摘要详细情况是这样:
类型:木马-[顽固木马]【如果反复扫出,请先关闭卫士主界面,再用急救箱强力模式进行查杀或到360论坛反馈。(ID:69)】
描述:木马通常利用系统的漏洞,绕过系统防御,达到:盗取账号
详细情况是这样:
类型:木马-[顽固木马]【如果反复扫出,请先关闭卫士主界面,再用急救箱强力模式进行查杀或到360论坛反馈。(ID:69)】
描述:木马通常利用系统的漏洞,绕过系统防御,达到:盗取账号、窃取资料、篡改文件、破坏数据的目的。经过360安全中心检验,此文件是木马,建议您立即处理。
扫描引擎:云安全引擎
位置:改首页、恶意推广的驱动木马
处理建议:强力清除
根本没有给出木马的文件名,请高人指教。
共有1个回复供您参考:
需要您下载系统急救箱,勾选强力模式,扫描一遍重启电脑看下。
<span class="tipso_style" id="tip-p" data-tipso='
您可以选择一种方式赞助本站
关于本站本站为360用户提供方便快捷的360产品问题解答信息,让我们理智客观的对待互联网信息。本站信息来源于互联网,如有侵权,请留言。404 Not Found
404 Not Found当前位置: &
有时候系统会因为一些软件导致出现能正常连接,但无法用浏览器上网的问题,这
360浏览器有许多的小功能,其中一个就是360浏览器医生,它能修复360浏览器网页不
在我们日常使用U盘的时候,我们经常会发现电脑会弹出修复U盘的图标。那可以使
360安全卫士修复后无法修改hosts文件怎么办?无法修改hosts的解决方法,本地还没
在使用360极速浏览器浏览网页的时候,总会出现各种大大小小的异常问题,但是很
360系统急救箱是一款能够强力清除木马和可疑程序,并修复被感染的系统文件,抑
360浏览器是我们国家用户群体很庞大的一款智能浏览器,有些问题360浏览器里的
360系统急救箱能够修复电脑出现的各种问题,但是新版中很多朋友找不到系统急
平时上网的时候会出现各种网络问题,比如dns有问题、ip地址不对等,这些名词对于
360安全卫士是一款保护电脑安全上网的软件。其功能多样有电脑体检、木马查杀、电
但好好的在上网时突然会出现无法上网的情况,去查看一下电脑的网络和共享中
我们在用电脑时经常会使用360系统急救箱,有时候会遇到修复MBR的问题,那一般都
dns劫持修复工具,360DNS劫持专杀工具能够检测计算机DNS是否被恶意篡改。可以快速
如果你使用360卫士或急救箱检查出了存在MBR木马,可以使用本专杀工具进行修复
近期,互联网巨头们正采用各种形式,360u盘修复工具杀入智能手机领域,国内智能
博洋问答营销软件合作了百度、360、搜狗和新浪爱问四个问答平台,客户可以直接在
小编推荐-360修复

我要回帖

更多关于 u盘文件损坏 的文章

 

随机推荐