“异鬼Ⅱ”Bootkit木马详细分析

正文

请到「今天看啥」查看全文

4）在线程中判断注册表否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\un键值（母体创建），以及是否存在{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex键值（感染后会设置，防止重复感染）。

5）满足以上条件后，访问以下URL，根据操作系统版本信息等下载数据，

http://bd.705151.com/clientapi/clientreport.ashx?u=%d&pc=%s&os=%d&sid=%d

其中u为注册表un键值，pc为mac、cpuid等硬件信息的hash值，sid写死为10，os为32或64。

6）提交信息后，服务器根据上传的版本信息重定向到不同的URL返回下载结果。

32位：http://npic.shangfx.com/42c/43/6/a07/31a2d803.wav

64位：http://cache.yzrub.com/842/99/bb26/a2087bb.wav

文件下载回来后，解密并用zlib解压后在内存中加载执行，以下将其称作installdll.dll

3. installdll.dll行为

该文件pdb路径与VBR中的木马PDB路径一致，可以确定为同一伙人开发。

1）判断指定进程下是否有甜椒刷机安装包程序，以确定自己是否为被指定的程序推广安装，若否，则退出，不会进行感染。此外，如果注册表存在\duowan\YYExplorer等路径，即便没有找到相关文件也会进行感染。

2）检测进程列表中的进程名是否包含有smsniff、Wireshark、Dbgview、Procmon、procexp、OLLYDBG、regshot、ProcessHacker、idaq、devenv等字符，有则退出。

3）检测进程中是否有SbieDll.dll、api_log.dll、dir_watch.dll、SXIn.dll模块，有则退出。

4）通过进程名检测瑞星、360安全卫士、360杀毒、金山卫士、金山毒霸、腾讯电脑管家、百度杀毒、百度卫士、卡巴斯基、诺顿、MSE、火绒等安全软件，根据检测结果执行不同的感染逻辑，杀软进程名使用XOR 0x29加密。

5） 感染相关的代码在dll中，木马会在内存中展开感染模块并加载执行，以下将其称为infect.dll，该dll提供两个导出函数，一个为BkInstall、BkTryWriteDisk，分别对应直接应用层写磁盘和通过驱动写磁盘的功能。此外，该dll有两个版本，分别对应win10操作系统和其他windows操作系统。如果要调用BkTryWriteDisk，则会先释放驱动到driver目录下并加载。

4. infect.dll行为

1）BkInstall，该函数直接打开磁盘写入木马。

2）BkTryWriteDisk，与\\.\{28F28D04-F525-fd5d-87197-C7A95250BCE2}设备进行通信，将要写入的内容和地址传给该设备进行磁盘写操作。

5. WriteDiskBySys.sys行为

该驱动加了VMP，从其老版本以及pdb信息和应用层的调用方式分析，可知该驱动会创建名为{28F28D04-F525-fd5d-87197-C7A95250BCE2}的设备，供应用层调用，主要实现向指定磁盘位置写入数据的功能。

请到「今天看啥」查看全文