关闭

新型浏览器劫持木马“暗影鼠”

972人阅读 评论(0) 收藏 举报
分类:

近日哈勃分析系统截获了一批新型浏览器劫持木马 “暗影鼠”,该木马通常被打包在压缩包内伪装视频播放器通过网页进行传播。该木马的主要功能是对浏览器访问导航页的流量进行劫持,重定向到自己的推广页,非法获取推广利润。该木马最早出现是在今年的4月末,5月初开始小范围传播,但是从5月23开始突然爆发,高峰期全网中此木马用户数超过30W每日,保守估计近期木马作者以此获利总额有近百万元人民币。

\

传播趋势

0x01 木马介绍

“暗影鼠”启动后首先释放大批子文件,如下图所示

\

释放文件列表图

主要子文件功能:

cBLK.dll 木马核心功能模块,注入浏览器进程,流量劫持 newts.exe 64位系统下kill浏览器进程 undoing.exe 获取木马作者后台的推广列表 run.bat 清空浏览器缓存和临时文件 clk.ini 木马使用的配置文件

\

“暗影鼠”核心作恶流程

该木马在释放了一批子文件之后,枚举当前系统中的进程,与设定好的国内主流浏览器进程名进行对比,如果发现这些浏览器进程的存活,则杀掉相应进程,并且生成一个相应被感染的浏览器主进程的可执行文件。然后拉起这个被感染的假浏览器进程,假浏览器进程会加载之前释放的核心功能dll,然后再dll中hook关键系统函数,进行流量劫持。

0x02 主要功能模块技术分析

1.遍历进程杀浏览器进程

\

进程名比较代码段

枚举进程,寻找国内主流浏览器进程名。在此本文以chrome浏览器为例,对木马母体的TerminateProcess函数下断点,查看第一个参数。

\

结束chrome进程

查看句柄的含义

\

procxp中查看句柄含义

句柄对应的就是chrome进程

\

任务管理器中查看chrome的进程ID

可见木马母体中去杀的进程就是chrome.exe。

2.“狸猫换太子”假浏览器出场

杀掉真的chrome之后,木马母体在chrome.exe的同级目录下创建了下边两个文件。

\

释放被感染的chrome

上图中的exe就是一个被感染的chrome,会在启动时加载cBLK.dll,然后执行其内部包含的真正的chrome.exe。

假的chrome启动后,我们用spy++查看当前的浏览器窗口归属

\

spy++查看窗口的进程归属

\

假chrome进程树

0:000> ?9d4Evaluate expression: 2516 = 000009d4

0x9d4转成10进制就是2516

可以看到现在使用的chrome就是被感染的chrome。

3.cBLK目的何在

\

调试器附加假chrome

由上图可知假chrome加载了cBLK.dll,这个dll的主要功能就是hook系统关键函数。

\

主要Hook点

hook LoadLibraryExw

\

阻止加载列表

这个hook点的主要目的就是防止安全软件的浏览器安全模块加载。

hook WSASend发现对导航页的访问时

\

监控的导航页列表

\

 

构造302页面

发现对上述导航页的访问,则构造相应的302跳转页面。

hook WSARecv将对应的302页面返回,达到劫持目的

\

返回302页面

上图中的代码是在cBLK的WSARecv的hook函数中找到的,后边会调用真正的WSARecv,使得浏览器误以为接收到了302跳转页面,达到劫持目的。

4.其他技术点

启动被感染的浏览器进程,该样本还使用了监控浏览器桌面快捷方式点击的方法,非主要技术点在此不展开介绍。该样本也hook其他模块加载和网络发送接收函数,道理和上边说的一致,也不重复了。

哈勃分析系统目前对此样本的已经查杀。

0
0
查看评论
发表评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场

一个Jsp写的木马文件

<%! /** * Code By Ninty * Date 2009-12-17 * Blog http://www.Forjj.com/ * Yue . I Love You. */ private static f...
  • bfboys
  • bfboys
  • 2016-09-10 17:17
  • 630

常见的木马端口

常见的木马端口
  • netuser1937
  • netuser1937
  • 2016-12-13 14:48
  • 705

一个简单木马程序的实现

一个简单木马的实现,麻雀虽小,五脏俱全,用到了socket和窗口隐藏技术
  • szq123456123
  • szq123456123
  • 2014-06-09 10:44
  • 6233

《DLL木马进程内幕大揭秘》

如果是位经常玩“马马”的朋友,那么一般情况下都会或多或少掌握一些木马的特性,然而,很多朋友还是不知道“DLL木马”是什么东东。那到底什么是“DLL木马”呢?它与一般的木马又有什么不同?带着这些疑问,一起开始这次揭密之旅吧! 一、追根溯源从DLL说起 要了解什么是“DLL木马”,就必须知道“DLL...
  • zz709196484
  • zz709196484
  • 2017-06-05 00:32
  • 597

图解冰河木马一次使用过程

首先搜索 冰河木马 ,然后下载;一下载好,360即报木马; 因为目前是我们准备尝试一下干坏事,恢复之;信任之; 解压之后又报病毒; 恢复; 看下,一个客户端;一个服务端; 先走客户端;360发现 Trojan.Generic; 信任之;防火墙阻止,允许在专用网络上运行; ...
  • bcbobo21cn
  • bcbobo21cn
  • 2016-07-10 23:13
  • 8929

防止木马最有效果的办法 (完整篇)

防止木马最有效果的办法 (完整篇)     教大家防木马的办法,只针对网页木马,有效率90%以上,可以防止90%以上木马在你的机器上被执行,甚至杀毒软件发现不了的木马都可以禁止执行。先说一下原理。 现在网页木马无非有以下几种方式中到你的机器里 1:把木马文件改成B...
  • hawk140
  • hawk140
  • 2016-08-28 11:42
  • 263

木马攻击与防范

BO2K下载: http://sourceforge.jp/projects/sfnet_bo2k/releases/ http://sourceforge.net/projects/bo2k/?source=pdlp 使用说明: BO2K Core Package and Plugins V...
  • han_jiang_xue
  • han_jiang_xue
  • 2014-03-18 19:23
  • 949

图片一句话木马简单制作方法

小白对于制作一句话木马的心得,也是给自己留个印象。
  • TimeOldman
  • TimeOldman
  • 2017-12-01 23:50
  • 429

如何区分上传的图片是不是木马?

这里所说的表示不同文件类型的魔术数字,指定是文件的最开头的几个用于唯一区别其它文件类型的字节,有了这些魔术数字,我们就可以很方便的区别不同的文件,这也使得编程变得更加容易,因为我减少了我们用于区别一个文件的文件类型所要花费的时间。 比如,一个JPEG文件,它开头的一些字节可能是类似这样的”ff...
  • Lenny_CL
  • Lenny_CL
  • 2017-02-13 10:59
  • 543

一个 简单的cmd 木马(源代码)

一个 简单的cmd 木马(源代码) // woodtc.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "WoodSMT...
  • usertony
  • usertony
  • 2013-10-25 15:12
  • 2114
    个人资料
    • 访问:250691次
    • 积分:4800
    • 等级:
    • 排名:第6993名
    • 原创:241篇
    • 转载:44篇
    • 译文:0篇
    • 评论:23条
    友情链接
    www.80hack.com