激活工具,传播锁头病毒“香辣香醋锅”,诱使用户退出安全软件
[时事通讯]
最近,天鹅绒论坛的反馈主页被大量用户劫持。tinder工程师的可追溯性发现,上述所有用户都在激活工具官方网站(现被tinder截获)下载并安装了激活工具,如暴风激活、kms激活和小马激活,导致主页被劫持。进一步的分析显示,这些激活工具都带有一个名为“香辣香醋锅”的主页锁定病毒,它将劫持主页为“:8083)。相关代码如下图所示:
激活并执行主机和wdlogin模块
发送主机信息
测试安装的软件,杀死4 4)kmdf _ protect . sys
kmdf_protect.sys模块是一个驱动器保护模块,用于对抗杀戮和杀戮。该模块将添加文件过滤,以防止访问、修改和删除自己的组件模块。同时,它还将阻止360和腾讯电脑管家云查杀模块的加载。相关代码如下图所示:
注册文件过滤
文件过滤回调
保护你自己的模块,防止360,腾讯电脑管理器的云杀模块加载。相关代码如下图所示:
为了防止软件云杀死模块加载,这个模块将添加一个注册表回调,它将添加一个& # 34;ialpss1z & # 34和& # 34;lsi _ sas2l & # 34路径的注册表操作被过滤,删除和修改的请求被拒绝。相关代码如下图所示:
注册表保护这个模块添加一个关机回调,写回驱动程序加载的注册表项,并添加wccenter.exe到运行一次注册表项,以便引导自己。相关代码如下图所示:
添加关机回调
写回驱动程序服务注册表
添加wccenter boot 5 5)kmdf _ look . sys
kmdf_look.sys驱动模块主要用于劫持浏览器的主页,同时可以删除与安全软件相关的进程回调,防止浏览器加载与主页相关的动态库。下图显示了受此病毒影响的浏览器:
受此病毒影响的浏览器会劫持与浏览器启动参数相关的逻辑,如下图所示:
劫持浏览器启动参数,病毒还会通过文件过滤的方式阻止浏览器加载与主页相关的动态库。相关代码,如下图所示:
检测浏览器进程名被截获并加载的模块的文件名,如下图所示:
最后,病毒将删除所有与安全软件相关的进程回调(360,腾讯,金山),这可能是为了提高主页锁定的成功概率。相关代码,如下图所示:
删除安全软件进程回调删除与安全软件进程回调相关的数据的初始化代码,如下图所示:
数据初始化代码6)_ j1002.exe
j1002.exe模块的主要功能是向服务器发送心跳包。它将首先将自己复制到同一个目录,将其注册为服务,然后将其删除。相关代码如下图所示:
注册服务并自删除,发送心跳包相关代码和网络信息,如下图所示:
发送心跳数据包
心跳包信息7)wdlogin.exe
wdlogin.exe模块的主要功能是在c:\windows\minidump目录中查找以dmp结尾的转储文件,并将它们压缩并上传到服务器。相关代码和网络信息如下图所示:
正在查找转储文件
上传转储信息8)wuhost.exe
wuhost.exe模块主要用于更新两个驱动模块。更新时,将读取%windir%目录中的filt(kmdf_look版本信息)和sytl(kmdf_protect版本信息)文件的内容,然后将这两个文件中记录的驱动程序模块版本信息和其他系统信息(包括系统平台版本x64/x86、相对驱动程序模块名称和请求时间)发送给c & ampc服务器(du.testjj.com:8083)。发送请求后,c & ampc服务器将返回相应驱动模块的更新下载地址,最终下载驱动模块。相关代码,如下图所示:
更新驱动模块发送的加密数据的相关代码,如下图所示:
发送数据发送数据内容示例,如下图所示:
最初下载到本地的驱动器模块的名称是kmdf_look_temp和kmdf_protect_temp。更新过程完成后,驱动器文件被重命名为随机名称的驱动器文件(例如,eyvkrtam.sys)。相关代码,如下图所示:
重命名驱动模块9)wccenter.exe
wccenter.exe模块的主要功能是创建wrme.exe、wuhost.exe和wdlogin.exe流程,相关代码如下图所示:
建立wrme.exe、wuhost.exe和wdlogin.exe二世的过程。追踪分析
通过tinder监控,发现该恶意网页锁定程序主要来自