近期360安全中心收到大量网友反馈,浏览器主页被改为 ur99.com、zf12.com、m162.com等可疑网址,或者是CPU占用莫名奇妙的高,尤其是svchost.exe消耗大量系统资源。
我们联系求助网友,跟踪样本来源发现,这些现象是一个最新的暗云木马变种作祟。该木马变种使用了多种技术对抗杀毒软件,并在关机时反复写入MBR(主引导记录),原始样本为注入svchost的一个系统服务。以下为详细分析:
木马分析
一、新暗云木马以服务方式启动,注入svchost.exe 在关机过程逃避杀毒软件的拦截写入MBR,木马样本如下:
启动服务为 GPWGames WebGame 相关字串为
二、关机写入MBR后,该样本支持运行目前所有主流 32位和64位系统。
使用了两次挂钩加载木马代码,第一次挂钩系统的ZwCreateSection:
映射之前的物理内存
分配0x8000字节 NonPagePool用来释放木马代码
拷贝木马代码到内存
调用PsSetCreateThreadNotifyRoutine 函数为第二次执行挂钩 StartIo函数准备
三、执行完相关函数后,跳转到原始ZwCreateSetion
当系统创建线程时候就会触发病毒代码执行
判断是否是Csrss.exe 系统进程
当发现是csrss.exe 执行后续挂钩操作,注册DPC和挂钩CmpPasreKey保护自己钩子。一旦发现被修改立即回写,写入超过一定次数会触发蓝屏
DPC定时器保护
对象劫持
注册表
四、联网更新病毒代码 更新网址为 update.xz0123.com
更新代码后 向应用层以下程序
插入DLL 实现修改首页 推广程序功能
防范措施
用户正常开启360杀毒或安全卫士,都能够防御包括新暗云在内的MBR木马。
如果关闭安全软件而不慎中招,可以使用360系统急救箱进行查杀,并修复被木马篡改的MBR。经过实测,目前国内仅360系统急救箱可以彻底查杀此新暗云木马。下载使用360系统急救箱:http://www.360.cn/jijiuxiang/index.html
Comments