上週五我們發佈了逆鬼借下載器瘋狂傳播,360安全衛士獨家攔截後,木馬作者見此情況,於週日16號下午17點趕緊再換馬甲,偽裝成內網安全加固軟件安裝包試圖逃脫360安全大腦的監控,不幸的是又被安全大腦再度秒殺
樣本分析
安裝包運行後,釋放白利用文件到 %userprofile%\appdata\roaming\gkr2\目錄下
目錄結構如下:
其中%appdate%\GKR2\InstDrv.dll 內存解密加載程序
%appdate%\GKR2\ktop.dat (ShellCode) 加密的核心木馬程序
主程序啟動後會自動加載導入表中的InstDrv.dll文件
InstDrv.dll部分
該DLL入口點並無異常
InstDrv.dll文件在初始化的過程中進行解密木馬原文
加的偏移地址0xF0BC 其實是GetModuleHandle
調試函數顯示
後續函數為:
然後執行到關鍵解密加載寫入VBR模塊函數,主要是讀取本目錄下的ktop.dat文件解密執行:
而sub_1000E7EE其實為獲取Kernel32基地址,搜PEB中LDR結果體獲取:
然後獲取函數地址:
函數主要 執行過程為:
ShellCode部分
進入Shellcode後
調用DllMain函數
入口點函數為:
開線程開始幹活,打點上傳用戶信息:
然後篡改系統VBR
VBR跳轉執行
申請高端內存:
判斷特徵碼掛鉤處理:
目前360已經可以攔截和查殺逆鬼木馬:
安全衛士查殺