360能否彻底查杀木马(出师未捷身先死)

360能否彻底查杀木马(出师未捷身先死)(1)

上周五我们发布了逆鬼借下载器疯狂传播,360安全卫士独家拦截后,木马作者见此情况,于周日16号下午17点赶紧再换马甲,伪装成内网安全加固软件安装包试图逃脱360安全大脑的监控,不幸的是又被安全大脑再度秒杀

样本分析

安装包运行后,释放白利用文件到 %userprofile%\appdata\roaming\gkr2\目录下

目录结构如下:

360能否彻底查杀木马(出师未捷身先死)(2)

其中%appdate%\GKR2\InstDrv.dll 内存解密加载程序

%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木马程序

主程序启动后会自动加载导入表中的InstDrv.dll文件

InstDrv.dll部分

该DLL入口点并无异常

360能否彻底查杀木马(出师未捷身先死)(3)

InstDrv.dll文件在初始化的过程中进行解密木马原文

360能否彻底查杀木马(出师未捷身先死)(4)

加的偏移地址0xF0BC 其实是GetModuleHandle

360能否彻底查杀木马(出师未捷身先死)(5)

调试函数显示

360能否彻底查杀木马(出师未捷身先死)(6)

后续函数为:

360能否彻底查杀木马(出师未捷身先死)(7)

然后执行到关键解密加载写入VBR模块函数,主要是读取本目录下的ktop.dat文件解密执行:

360能否彻底查杀木马(出师未捷身先死)(8)

而sub_1000E7EE其实为获取Kernel32基地址,搜PEB中LDR结果体获取:

360能否彻底查杀木马(出师未捷身先死)(9)

然后获取函数地址:

360能否彻底查杀木马(出师未捷身先死)(10)

函数主要 执行过程为:

360能否彻底查杀木马(出师未捷身先死)(11)

ShellCode部分

进入Shellcode后

360能否彻底查杀木马(出师未捷身先死)(12)

调用DllMain函数

360能否彻底查杀木马(出师未捷身先死)(13)

入口点函数为:

360能否彻底查杀木马(出师未捷身先死)(14)

开线程开始干活,打点上传用户信息:

360能否彻底查杀木马(出师未捷身先死)(15)

然后篡改系统VBR

VBR跳转执行

360能否彻底查杀木马(出师未捷身先死)(16)

申请高端内存:

360能否彻底查杀木马(出师未捷身先死)(17)

判断特征码挂钩处理:

360能否彻底查杀木马(出师未捷身先死)(18)

目前360已经可以拦截和查杀逆鬼木马:

安全卫士查杀

360能否彻底查杀木马(出师未捷身先死)(19)

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页