最新病毒库日期:
  • 暗云Ⅲ木马分析报告
2017-06-12 10:10 来源:未知
【文章摘要】近日暗云系列木马出现新变种,江民反病毒实验室工程师深入研究发现,暗云系列木马会感染磁盘主引导区,黑客可以利用云端指令,实现对染毒电脑的远程控制。
一、事件描述
近日暗云系列木马出现新变种,该变种假冒一些流行游戏的外挂、私服工具传播。江民反病毒实验室工程师深入研究发现,暗云系列木马会感染磁盘主引导区,黑客可以利用云端指令,实现对染毒电脑的远程控制,用户电脑中的文档、IP地址、图文视频文件等重要信息在黑客眼前均一览无余。
而且,暗云木马并不在本地硬盘上生成文件完成破坏或攻击目的,即用户在本地找不到完成攻击的文件,指令只存在内存中,随时可以通过网络更换攻击方式。即使用户重新格式化硬盘,仍不能将该木马彻底查杀。
除了将受害电脑置于凶险境地之外,黑客还利用这些电脑展开DDos攻击。这些电脑同时向一些网站的服务器发送无用的服务请求,导致服务器无法提供正常的网络服务,网站访问也变得异常卡慢。
二、样本特点:
1、木马的主体在内核中运行,比所有的安全软件启动都早,因此大部分的安全软件无法拦截和检测该木马的恶意行为。木马能够在内核中直接结束部分安全软件进程,同时会关闭安全软件的文件监控设备句柄,会导致安全软件文件监控失效,大大减少了被检测的机率。
2、木马在开机时自动从云端下载运行,获得控制权限,该木马控制的主机已经组成了一个大规模的僵尸网络,并可以通过更换脚本的方式对不同目标发起DDoS攻击。
3、对感染的MBR进行hook保护,防止被安全软件检测和清除,并且使用对象劫持技术躲避安全人员的手工检测。大多数安全软件无法检测和查杀该木马,并且该木马通过游戏微端、外挂、私服登录器等方式进行传播,且具有较强的隐蔽性。
4、兼容多种系统版本,通过捆绑的推广ID,获取利润。
三、样本分析
1、通过运行正常的游戏客户端,将shellcode代码捆绑到资源文件中,在执行游戏之前会先获取被修改的PNG资源,执行链接网络下载。


2、Shellcode代码在获取申请空间函数之后,在释放数据中包含一个PE文件。

3、最后释放出来的PE文件,loadlibrary到内存中开始运行。
A、读取配置文件,包含一个推广ID,根据分割符判断安装包是否正常。

B、检测是否在虚拟机中运行。

C、检测是否在网吧运行。

D、检测电脑中运行的杀毒软件。
 
E、病毒会获取计算机硬件信息等返回给服务端。
4、从云端下载安装包文件到本地,通过运行此安装包:
A、下载LDrvSvc.zip,并通过rundll32.exe加载DLL文件,其为驱动人生的一个安装包,里面有一个DtCrashCatch.dll恶意文件,用于网络中下载感染MBR的配置文件upcfg.db模块。
B、ShellCode功能仍是用RtlDecompressBuffer进行解压,得到另外一个Shellcode代码。执行后会在内存中执行一个模块,模块为修改MBR实现长久驻留系统的功能,内部带有ShellCode。


四、木马C&C地址:
域名 作用 解析ip 地址 创建时间 更新时间
ms.maimai***.com C&C 23.234.4.*  美国 2015-6-6 2017-2-3
www.acsew**.com C&C 23.134.13.*  美国 2016-12-16 2017-3-3
www.2t**.com 感染器 23.234.51.*  美国 2016-9-24 2017-3-3
c2tong**.b5156.com 下载器 112.121.173.*  香港 2016-07-06 2016-07-07
Upda**.njmmy.com 下载器 121.12.170.*  东莞 2017-03-20 2017-03-21
data.b51**.com 关联 58.215.185.*  无锡    
update.1a**.com 关联 121.12.170.*  东莞    

五、暗云木马MBR工作机制:


 江民反病毒专家表示,暗云系列MBR木马并不属于新型威胁,其实早在2010年鬼影系列木马就曾以感染MBR著称,安装了江民杀毒软件的用户只需升级病毒库即可查杀此类病毒。
 
六、如何防范及查杀
暗云Ⅲ木马主要是通过下载站传播,捆绑在一些游戏微端、外挂和私服登录器等软件里。防御暗云Ⅲ的方法很简单,江民反病毒专家建议用户采取以下防范措施:
1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序;
2、不要下载运行游戏外挂、私服登录器等软件;
3、定期在不同的存储介质上备份信息系统业务和个人数据;
4、用户只要安装江民杀毒软件并升级病毒库即可全面查杀暗云系列病毒。