吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 27756|回复: 74
上一主题 下一主题
收起左侧

[转载] 警惕,暗崟虫病毒木马。

  [复制链接]
跳转到指定楼层
楼主
悠然. 发表于 2019-3-31 10:50 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
咱们论坛很多人都喜欢下载一些变声器、屏幕亮度下调、连点器之类的软件
但实际上不得不警惕的一点是,为什么这些软件在使用过程中都需要关闭杀毒软件呢?原因很简单,有后门。
之前看了一篇老哥分析过万能变声器这款软件存在的后门,本人特地去搜索了一下,发现了这款软件的实际情况,请各位警惕下载为好。


以下是该系列软件在下载站上的发布列表,最早可追溯到2013年,涉及各类辅助软件。图1下面我们以“屏幕亮度调节器”这款软件为例,分析该系列软件的运作流程。图2样本分析运行软件“屏幕亮度调节.exe”,表面上显示正常功能界面。而实际上,作者毫不掩饰,直接在窗口创建时展开行为。图3首先加载恶意模块“ScreenFlash.dll”,并调用其导出函数“StartScreenFlashWork”来设置全局消息钩子。这一操作会使得“ScreenFlash.dll”被系统注入到每一个窗口进程中,而该模块则会在初始化加载的时候直接运行Shellcode,从而增加Shellcode的运行机会。除此之外,软件本身也创建了恶意线程来运行相同的Shellcode。图4Shellcode分多段运行,ShellcCode1的主要功能是检测加密的ShellCode2是否已经存在,不存在则会联网获取加密的ShellCode2执行。首先通过TEB获取kernel32.dll的模块基址,进而解析kernel32的导出表获取GetProcAddress的地址,然后批量获取自身所需的其他API地址。图5接着打开注册表项“SOFTWARE\ScreenBright”,并查询键值HeadData。该注册表项是用来判断是否已经下载了ShellCode2,若是查询失败,则意味着还未下载,样本将进入下载流程;反之,则进入读取文件、解密执行的流程,如下图所示:图6联网下载的ShellCode都是采用同一套模式,先访问加密配置后获得资源下载地址和解密key,再下载资源进行解密执行,如本例软件下载ShellCode2是先访问“http://www.baidu-home.com/screen/checkupdate.txt”后解密得到资源下载地址“http://www.2k2u.com/screen/screenjump.dat”和解密key“0x004271e4”,继而下载该资源并通过密钥解密出下一段ShellCode执行。图7ShellCode2的功能其实和ShellCode1差不多,主要是负责再次更新下载新的ShellCode3来执行。ShellCode3则由一段LoadPE代码和一个头部信息被摧毁的恶意dll模块组成,其功能主要是加载该模块运行。准备完所需API后,ShellCode3首先申请一段内存来拷贝恶意dll模块,从下图可见其PE头部信息被大量抹除,只保留导入表、重定位表等必要的定位信息,但是数据目录原导出表位置存放了OEP以及OEP所指向的4字节内容(用于校验)。图8LoadPE代码根据导入表重构IAT表、修复重定位,再简单校验OEP处4字节代码之后就开始从OEP执行恶意dll模块代码了。程序首次运行会写注册表项SOFTWARE\\Classes\\CLSID\\{2B53F0A7-3238-4b4d-8582-E53618739C90}\LockData,此时并不展开行为。当程序再次运行并且发现LockData中的日期和当前日期不同时,便展开行为。过程中还有一些进行环境检测,检测虚拟机、常用分析工具图9检测环境通过之后首先获取当前浏览器进程名称,并根据不同的浏览器展开相应的改主页操作,支持浏览器包括360安全浏览器、360极速浏览器、qq浏览器、搜狗浏览器等主流浏览器。图10感染分布以下是此类软件在全国各地区的传播占比统计,可以看出软件主要分布在沿海各省份,其中广东为重灾区。图11查杀与总结这一系列软件主要是通过在常用软件工具中安插恶意代码的方式进行伪装,虽然目前只是在用户电脑中通过诱导或强制的方式来修改浏览器首页,但是软件作者可以随时替换服务器上的shellcode来达到控制用户电脑的目的,其风险性不言而喻。

免费评分

参与人数 30吾爱币 +27 热心值 +28 收起 理由
iflower + 1 + 1 感谢大佬分析,杀毒软件看来还是不能关闭。
llzf + 1 + 1 我很赞同!
小米粒儿 + 1 + 1 我很赞同!
积木熊 + 1 + 1 热心回复!
LND_S686 + 1 + 1 大佬牛逼,看来我死怂不关杀毒软件作用还是有的。。。
willJ + 3 鼓励转贴优秀软件安全工具和文档!
buaiwanyouxi + 1 用心讨论,共获提升!
冷沐晨 + 1 + 1 谢谢@Thanks!
墨香~ + 1 + 1 热心回复!
zgqc + 2 + 1 我很赞同!
qq1335988969 + 1 + 1 谢谢@Thanks!
cux1nj + 1 谢谢@Thanks!
snk8890 + 1 谢谢@Thanks!
椎名牧 + 1 + 1 谢谢@Thanks!
朔辰 + 1 + 1 谢谢@Thanks!
1615292771 + 1 + 1 热心回复!
GGBonds + 1 + 1 谢谢@Thanks!
lookerJ + 1 热心回复!
wo只是一个小白 + 1 + 1 真的感谢大大,险些中招。
好色之徒 + 1 + 1 热心小伙。
暗夜协奏者 + 1 + 1 热心回复!
a519809610 + 1 + 1 我很赞同!
dwq308 + 2 + 1 感谢大佬提醒,难怪之前总是收到群邮件的变声器。
J20 + 1 + 1 谢谢@Thanks!
Lyming + 1 + 1 谢谢@Thanks!
落花听雨 + 1 热心回复!
蓝色马蹄莲 + 1 X64平台起,就没有一款纯的HIPS,加上X64的签名验证机制,所以裸奔N年了,.
aa361328 + 1 + 1 热心回复!
追逐太阳 + 1 分析的不错,请问如何预防,在论坛下载的软件呢?小白虚心请教
爸爸丿 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 悠然. 发表于 2019-3-31 10:56 |楼主
设计师三七 发表于 2019-3-31 10:55
谢谢大佬的提醒 以后杀毒还是不管安全一些的

我是看论坛里都没人说这个东西,而且我看精品软件区有很多变声器,不得不开始警惕了……
推荐
 楼主| 悠然. 发表于 2019-3-31 11:16 |楼主
blacktea1 发表于 2019-3-31 11:02
一开始你又说看过一位老哥分析过,然后又说论坛里没人说???
https://www.52pojie.cn/forum.php?mod=v ...

老哥,我可能描述的不正确,应该是没说暗崟虫这个本体,您帖子的老哥就是我说的后门,但是他毕竟没说存在的究竟是什么后门不是,这个帖子我也是转载,请大家警惕,谢谢!
沙发
设计师三七 发表于 2019-3-31 10:55
谢谢大佬的提醒 以后杀毒还是不管安全一些的
4#
梦中寻 发表于 2019-3-31 11:00
学习一下
5#
lihang898 发表于 2019-3-31 11:00
谢谢提醒警惕病毒
6#
blacktea1 发表于 2019-3-31 11:02
悠然. 发表于 2019-3-31 10:56
我是看论坛里都没人说这个东西,而且我看精品软件区有很多变声器,不得不开始警惕了……

一开始你又说看过一位老哥分析过,然后又说论坛里没人说???
https://www.52pojie.cn/forum.php?mod=viewthread&tid=850065
7#
wjc1057 发表于 2019-3-31 11:03
感谢楼主提醒!
8#
Skslience 发表于 2019-3-31 11:04
感觉都不太敢下东西了,绑马都这么严重了么
9#
追逐太阳 发表于 2019-3-31 11:04
是不是需要关闭杀毒软件的都要提高警惕,或者是删除
10#
aa361328 发表于 2019-3-31 11:06
感谢提醒!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 08:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表