新暗云木马分析

近期360安全中心收到大量网友反馈,浏览器主页被改为  ur99.com、zf12.com、m162.com等可疑网址,或者是CPU占用莫名奇妙的高,尤其是svchost.exe消耗大量系统资源。

我们联系求助网友,跟踪样本来源发现,这些现象是一个最新的暗云木马变种作祟。该木马变种使用了多种技术对抗杀毒软件,并在关机时反复写入MBR(主引导记录),原始样本为注入svchost的一个系统服务。以下为详细分析:

木马分析

一、新暗云木马以服务方式启动,注入svchost.exe 在关机过程逃避杀毒软件的拦截写入MBR,木马样本如下:

QQ图片20150713162708

启动服务为 GPWGames  WebGame  相关字串为

QQ图片20150713162806

二、关机写入MBR后,该样本支持运行目前所有主流 32位和64位系统。

使用了两次挂钩加载木马代码,第一次挂钩系统的ZwCreateSection:

QQ图片20150713162821

映射之前的物理内存

QQ图片20150713162829

分配0x8000字节 NonPagePool用来释放木马代码

QQ图片20150713162837

拷贝木马代码到内存

QQ图片20150713162846

 

调用PsSetCreateThreadNotifyRoutine 函数为第二次执行挂钩 StartIo函数准备

QQ图片20150713162854

三、执行完相关函数后,跳转到原始ZwCreateSetion

QQ图片20150713163606

当系统创建线程时候就会触发病毒代码执行

QQ图片20150713163800

判断是否是Csrss.exe 系统进程

QQ图片20150713163808

QQ图片20150713163820

当发现是csrss.exe 执行后续挂钩操作,注册DPC和挂钩CmpPasreKey保护自己钩子。一旦发现被修改立即回写,写入超过一定次数会触发蓝屏

QQ图片20150713164019

DPC定时器保护

QQ图片20150713164537

对象劫持

QQ图片20150713164030

注册表

QQ图片20150713164047

四、联网更新病毒代码 更新网址为 update.xz0123.com

QQ图片20150713165247

更新代码后 向应用层以下程序

QQ图片20150713165154

插入DLL  实现修改首页 推广程序功能

QQ图片20150713165129

防范措施

用户正常开启360杀毒或安全卫士,都能够防御包括新暗云在内的MBR木马。

如果关闭安全软件而不慎中招,可以使用360系统急救箱进行查杀,并修复被木马篡改的MBR。经过实测,目前国内仅360系统急救箱可以彻底查杀此新暗云木马。下载使用360系统急救箱:http://www.360.cn/jijiuxiang/index.html

QQ图片20150713165344