病毒利用安全产品模块 劫持流量、攻击其他安全软件

一、概述火绒安全团队发现,病毒团伙正利用"远景"论坛的系统镜像文件传播后门病毒"WenkPico"。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流…

一,简述 Velvet安全性精英团队发觉病毒感染犯罪团伙已经应用“Vision”社区论坛的系统软件映像文件来散播后门病毒'WenkPico'。病毒入侵客户的电子计算机后,它将被劫持导航站,网购网站和手机软件安装文件总流量,并牟取暴利。一起,该病毒感染还运用我国安全性生产商的商品程序模块进攻别的防护软件,使一些防护软件的“云查杀”作用无效,客户电子计算机丧失安全性维护。

  对荷兰绒技术工程师的剖析发觉,病毒感染犯罪团伙将病毒感染置入系统软件图像文件中。当客户从“Vision”社区论坛下载并安装这种系统软件映像文件时,病毒感染就会运作。提议在没多久的未来下载系统映像文件。请尽早查验电子计算机C: \ windows \ system32 \ drivers文件目录。假如有名叫EaseFlt.sys和adgnetworkdrvw.sys的驱动安装文档,则说明它已中毒了。你能应用'火荷兰绒屠戮专用工具。 '根据病毒感染。 在病毒入侵客户的电子计算机后,它会以各种各样方法被劫持总流量以获得益处:被劫持客户导行到Hao123或2345导行网页页面;让客户在浏览网购网站时自动跳转到买东西采购回扣连接(受危害的网购网站给出)图);还会被劫持客户的详细地址以下载应用,并将其替换成为病毒感染精英团队发送的手机软件频道栏目包。病毒感染犯罪团伙能够随时随地根据C& C网络服务器变更遭劫持的手机软件下载链接,而不容易防碍未来向客户的电子计算机派发大量威协病毒感染的概率。

  更最让人害怕的是,该病毒感染应用国内安全经销商手机软件控制模块来避免流行防护软件免费在线定期检查杀掉(受危害的防护软件给出如图),这对36o安全系数有更大的危害警备借助'云杀'。云杀毒作用失效,避免防护软件发送病毒样本;它对具备当地病毒防护模块的卡巴斯基等防护软件的危害较小。荷兰绒的使用人无须担忧,“荷兰绒商品(个人版,商业版)'应用自身科学研究的新模块,而且在互联网关掉自然环境中不容易危害病毒防护工作能力。

  最终,根据技术性追朔性,该病毒感染应用的手机软件控制模块具备“山东省安子信息科技有限责任公司”的电子签名。 ('山东省安西信息科技有限责任公司),提议企业尽早调研。 'WenkPico'病毒感染杀掉小提示: 1.网页下载'Firesoft Killing Tool'http://bbs.huorong.cn/thread-18575-1-1.html; 2.安裝后点击“刚开始扫描仪”。 二,试品剖析 近期,Velvet接到了用户满意度,从Vision Forum免费下载的系统软件映象包括1个病毒程序。病毒感染运作后,它将应用互联网过滤装置被劫持Hao123和2345导行营销账号,被劫持手机软件安装包下载详细地址,受危害的手机软件包含:腾讯电脑管家和QQ电脑浏览器。当客户浏览网购网站时,他还会自动跳转到买东西采购回扣连接。受危害的网购网站,

  受危害的网购网站 被劫持,

  被劫持 该病毒感染还尝试根据严禁防护软件部件连接网络并严禁电子计算机浏览云来杀掉该详细地址,使取决于云杀毒的防护软件丧失杀掉病毒感染的工作能力。严禁连接网络的防护软件,

  网络安全软件 除此之外,该病毒感染还具备文件保护作用。当客户载入与病毒感染有关的驱动安装文档时,回到的统计数据是系统文件bindflt.sys的文档內容,进而使客户觉得疑惑并改进了病毒感染的掩藏。以file特性为例,如图所示:

  病毒感染维护自身的驱动安装文档 病毒感染主控制模块文件夹名称是wkms.dll,除病毒代码外还包括系统激活有关逻辑性。动态性库将申请注册为系统服务,并在每一次开启时启用。初次启用病毒感染控制模块时,它将释放出来好几个可执行文件(如上边的鲜红色框如图),在其中EaseFlt.sys是EaseFilter SDK中出示的驱动安装,它出示文档过虑和系统进程维护。能够根据EaseFilter SDK中的动态性库启用该涵数。动态性库统计数据也储存在wkms.dll中; adgnetworkdrvk.sys和adgnetworkdrvw.sys全是互联网过滤装置驱动安装,2个驱动安装文档相同,在其中应用了adgnetworkdrvk.sys。针对系统激活,adgnetworkdrvw.sys用以设定故意互联网过虑标准。值得一提的是,人们发觉在下列Win10系统软件中安裝wkms.dll服务项目动态性库后,其公布的互联网过虑驱动安装文档具备“山东省安子信息科技有限责任公司”的合理电子签名。因为在启用驱动安装时未检验到调用者,人们最开始猜疑驱动安装文档是不是被病毒感染运用。 '山东省安西信息科技有限责任公司'电子签名

下列是对所述病毒感染程序模块的深入分析。 驱动器维护 病毒感染服务项目动态性库wkms.dll储存在system32文件目录中,wkms.dll实际操作转化成的全部病毒感染统计数据都储存在system32 \ oobe文件目录中。病毒感染运作后,最先获得系统软件版本号,随后依据系统软件版本号释放出来EaseFlt.sys,并将EaseFilter动态性库投射到运行内存中,EaseFilter驱动安装中的文档过虑作用将由动态性库投射。有关编码,如图所示: 1547724069411357.png 内存扩展EaseFilter动态性库编码 病毒感染启用文档过虑作用后,会将此前公布的3个文档另一半被劫持到系统文件BindFlt.sys。那样,客户和安全性投资分析师不正确地觉得该文档是系统文件,进而出示了病毒感染掩藏。有关编码
  启用文档过滤装置编码 除此之外,病毒感染还会启用EaseFilter中的系统进程维护作用来维护wkms.dll控制模块的系统进程,如图所示底端的鲜红色框如图。 互联网过虑 病毒感染互联网过虑有关逻辑性运作后,最先根据C& C网络服务器(hxxps: //w.360scloud.com)恳求病毒感染控制模块af.dat的下载链接,并将af.dat文档公布到system32 \ o免费下载??oobe。在该文件目录下,启用由wkms.dll实行。根据恳求连接,病毒感染能够得到由Base64编号的每段统计数据,以“#S#”打头,以“#E#”末尾(由于统计数据过长,只能一部分资料显示在图为中)。编解码统计数据后,人们能够得到初始配备统计数据。根据C& C网络服务器恳求统计数据的全过程是同样的,下边将已不叙述。恳求连接并免费下载配备
  恳求连接和免费下载配备统计数据 除开免费下载af.dat病毒感染控制模块外,此地的配置文件可以储存必须实行的一切命令行。依据当今配备统计数据,未开启命令行字段名,但未来不容易将病毒感染发送至故意命令行。客户当地实行的概率。有关配置文件解
  配置文件分析编码 载入af.dat后,wkms.dll将启用其导出来作用AF来加上故意互联网过虑标准以被劫持总流量,阻拦防护软件连接网络,并阻拦浏览防护软件云查验连接。 wkms.dll控制模块启用af.dat有关编码,
  wkms.dll控制模块启用af.dat有关编码 实行af.dat中的病毒代码后,最先依据系统软件版本号公布互联网过虑驱动安装adgnetworkdrvw.sys,随后根据C& C网络服务器获得故意互联网过虑标准(hxxps: //w.360scloud .COM)。
  标准分成两一部分:流量劫持和反防护软件。在流量劫持一部分标准中,除开被劫持营销账号外,病毒感染还会被劫持客户免费下载的手机软件安装文件详细地址。当客户下载应用官网安装文件时,实际上免费下载是病毒感染创作者出示的频道栏目包。进而超过保持的目地。截止公布汇报,受危害的手机软件安装文件包含:QQ电脑浏览器和腾讯电脑管家。因为互联网过虑标准是由病毒感染创作者的C& C网络服务器公布的,病毒感染创作者能够随便调节被劫持详细地址,因而人们不清除安装文件详细地址遭劫持为病毒下载详细地址的概率。
  因为很多流量劫持标准,仅以某些标准为例交通出行被劫持标准 对于防护软件的互联网过虑标准主要用于抵抗防护软件数字化云查杀和阻拦防护软件升级。该病毒感染根据严禁浏览防护软件的“云查杀”详细地址来停用一些防护软件的云安全杀毒作用,并避免防护软件发送病毒样本,进而立即危害防护软件的一切正常病毒防护作用。病毒感染过虑标准起效后,将立即危害36o安全卫士等防护软件恳求云查杀結果,使防护软件丧失有关的安全性维护作用。中毒了问题,
  36o安全卫士云查杀作用失效 有关标准统计数据,
  阻拦浏览云查杀详细地址标准 除此之外,该病毒感染还会回绝防护软件系统进程开展互联网恳求,受危害的系统进程名字包含:HipsDaemon.exe,36oTray.exe,liveupdate360.exe,QQPCRTP.exe等。尽管荷兰绒HipsDaemon.exe和HipsTray.exe系统进程也在标准目录中,但因为荷兰绒应用当地病毒感染数据库查询开展杀毒,因而它没受此标准的危害。