“双枪”木马借“逆战契约”外挂，转战“流量劫持”

2018-10-30 18:27:42
我要分享


微信扫码分享

360安全中心于2017年7月发现首例连环感染MBR和VBR的顽固病毒木马，将其命名为“双枪”，在之后的一年多时间内，我们发现该病毒作者在频繁的更新病毒版本，增加盈利方式和对抗安全软件的能力，且病毒的传播渠道也在持续变化。下图是“双枪”病毒几次较大更新的时间线：

近期，我们发现最新版本的“双枪”木马（以下简称“双枪4”）在原有病毒模块基础上，增加了劫持电商网站的病毒模块。根据同源性分析，我们发现该病毒模块是友商披露的“贪狼”病毒的子模块，而根据两个家族病毒样本的调试信息我们发现，这两类木马应该出自同一病毒作者之手。

“双枪4”利用该病毒模块实现电商网站的流量劫持，我们根据此次病毒更新的时间点推测，病毒作者应该是想趁着“双十一购物狂欢节”期间狠赚一笔流量推广费，单一的首页锁定带来的利益已经无法满足病毒作者贪婪的欲望，他已将“双枪”的瞄准了更大的战场。

传播途径

“双枪4”病毒木马利用游戏外挂在数码资源网，西西软件园，蜗牛娱乐网等多个下载站进行大量传播。以一款名为“逆战契约”的游戏外挂为例，还原整个感染流程。在下载页面可以看到只需要将log.dll替换到逆战游戏目录下即可。而用户所不知的是，log.dll其实是一个木马释放器，用于释放后续病毒模块。病毒下载页面截图：

log.dll被替换到逆战游戏目录下后，会随着逆战游戏的启动被LoadingOptimize.exe进程加载，释放出病毒文件orange.dll，并调用其导出函数StartEngine，该导出函数会根据当前计算系统位数释放相应的病毒驱动TexDriver.sys。TexDriver.sys会下载双枪驱动NtProtect.sys，进一步感染系统MBR和VBR，完整的感染流程，如下图所示：

如上图所示，MBR和VBR又会在系统启动阶段解密出病毒驱动NtBoot.sys去检测NtProtect.sys驱动，如果驱动服务异常，则会下载并修复病毒驱动，以此形成相互保护，使得双枪病毒的查杀异常困难。

样本分析

log.dll

log.dll释放orange.dll到C:\windows目录下并调用其导出函数StartEngine，该函数从资源中释放TexDriver.sys并加载，病毒逻辑，如下图所示：

TexDriver.sys

“双枪4”对于安全分析的对抗做的更加成熟，除了使用VMProtect虚拟化壳保护自身外，还增加了虚拟机检测，内核调试检测，ComputerName检测等，且双枪病毒是由引导区加载，启动顺序在安全软件之前，使得以上检测更为有效，病毒行为更加隐蔽，更难被检测到。下图是TexDriver.sys执行流程，当检测到虚拟机，内核调试且ComputerName在病毒作者黑名单中时，就不会去执行病毒逻辑：