中文版 Global
首页 > 安全资讯 > 正文

逆鬼再度来袭 360独家拦截查杀

  • 2018-12-18 18:31:32

上周五我们发布了逆鬼借下载器疯狂传播,360安全卫士独家拦截后,木马作者见此情况,于周日16号下午17点赶紧再换马甲,伪装成内网安全加固软件安装包试图逃脱360安全大脑的监控,不幸的是又被安全大脑再度秒杀

样本分析

安装包运行后,释放白利用文件到 %userprofile%appdata oaminggkr2目录下

目录结构如下:

其中%appdate%GKR2InstDrv.dll 内存解密加载程序

%appdate%GKR2ktop.dat (ShellCode) 加密的核心木马程序

主程序启动后会自动加载导入表中的InstDrv.dll文件

InstDrv.dll部分

该DLL入口点并无异常

InstDrv.dll文件在初始化的过程中进行解密木马原文

加的偏移地址0xF0BC 其实是GetModuleHandle

调试函数显示

后续函数为:

然后执行到关键解密加载写入VBR模块函数,主要是读取本目录下的ktop.dat文件解密执行:

而sub_1000E7EE其实为获取Kernel32基地址,搜PEB中LDR结果体获取:

然后获取函数地址:

函数主要 执行过程为:

ShellCode部分

进入Shellcode后

调用DllMain函数

入口点函数为:

开线程开始干活,打点上传用户信息:

然后篡改系统VBR

VBR跳转执行

申请高端内存:

判断特征码挂钩处理:

目前360已经可以拦截和查杀逆鬼木马:

安全卫士查杀

用户可访问以下地址下载卫士,拦截此木马:

http://dl.360safe.com/inst.exe


360安全卫士

热点排行

用户
反馈 返回
顶部