羊皮之下的小强木马

近日,360安全大脑监测到,捆绑正常软件,安装恶意驱动的XQGuard小强木马有所更新(www.cmmx.net)。不同于之前通过恶意驱动关机回调,回写驱动文件和注册表的自保方式, 新版本的小强木马放弃了驱动层回写的自保对抗方式,转而完全依赖于应用层注入模块来完成关机回写任务。

不过广大用户无需担心, 360安全卫士可对此类木马拦截查杀。

小强式的入侵流程

小强木马的主要来源,是各类 伪装为常规软件的下载网站,例如伪装为WPS,酷狗,微信等等,这些恶意安装包会内嵌一个正常的软件安装包,用于满足用户需求,同时再静默完成捆绑流氓软件,释放恶意驱动。

为了能顺利执行恶意行为,恶意安装包在安装过程中,可能还会 诱导用户退出安全软件,这也是各类木马的常用手法。

为了尽可能地隐藏自己的恶意行为,木马还会查询当前IP所属的城市是否是北京等一线城市,判断是否处于虚拟机环境中,检查是否有监控分析软件等。如果用户环境不是指定的一线城市IP,也不是虚拟机环境,并且不存在监控分析软件进程,木马才执行后续的恶意注入等行为。

具体恶意行为

木马进程会将恶意dll注入到winlogon进程,并向服务器请求恶意文件加密数据,然后挂钩winlogon进程ExitWindowsEx函数,用于关机回写以及更新恶意驱动数据。

winlogon进程被Hook的ExitWindowsEx函数,则通过激活事件,通知正在等待的回写驱动线程,在关机时,写入小强恶意驱动的注册表和驱动文件,用于电脑重启后加载恶意驱动。

而驱动文件的数据,则已经加密保存在了"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Module"注册表键的{6fab99d0-bab8-11d2-994a-01c05f98bbc9}键值项中,注入到winlogon进程的恶意dll,会从中读取数据解密出XQGuard小强驱动木马文件数据,写入到drivers目录下。

重启后,XQGuard小强木马得以加载,而新版本的小强木马,整体行为较之前版本大同小异,但已然放弃了依靠自身驱动关机回调,来回写注册表服务和文件的功能,转而完全依赖于应用层已经注入到winlogon进程中的dll,来完成关机回写的任务。因此,小强驱动木马加载后,会以APC注入的方式,再次将dll注入到winlogon进程,从而通过其dll再次达到关机回写的目的。值得注意的是,其dll也会通过请求木马服务器,来实现云控更新驱动木马数据,其更新的数据,写入"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Module"注册表键。

往期旧版本小强木马分析:

史上最怂的“小强”木马,发现360急救箱即刻自杀

论一只小强的反抗精神——从逆来顺受到武装抵抗的小强木马

安全建议

1、前往https://www.360.cn/ 下载安装 360安全卫士进行防护。

2、从360软件管家下载安全可信的常用软件。

3、如果已不慎感染该木马,可前往https://www.360.cn/ 下载安装 360安全卫士,使用360安全卫士的查杀服务。

MD5

6a846b55b3e64e3630bbe709b7fa1c10

1f91d92235b8ec2d8793ac43f2b79e3e

1f4909cf4b4c48474c98ce8e2771b903

主营产品:工业空调,废气处理成套设备