暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址(2)

木马主功能代码的主要实现以下三个功能：1、劫持磁盘驱动实现隐藏和保护被感染的MBR;2、向ring3的一个svchost进程插入APC;3、通过设置注册表回调来接收ring3返回。CWv鄂东网|www.xianzhaiwang.cn

插入到svchost代码只实现一个简单的功能：判断操作系统类型，从云端下载相应的Addata.dat模块到本地，解密执行，云端模块的URL硬编码在Shellcode中。CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

图3. BootKit 启动过程示意图CWv鄂东网|www.xianzhaiwang.cn

代码细节：CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

感染后的MBR与原始MBR对比图CWv鄂东网|www.xianzhaiwang.cn

二、云端模块一行为CWv鄂东网|www.xianzhaiwang.cn

概述：CWv鄂东网|www.xianzhaiwang.cn

此模块为木马云端配置的第一个模块，其格式固定，以简单的循环移位的方式进行加密，解密后的模块数据结构如下：CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

云端模块1解密后的数据结构CWv鄂东网|www.xianzhaiwang.cn

该模块的前4字节为标志“CODE”，仅作为数据合法性校验，校验成功后直接执行其后的Shellcode，而Shellcode的功能则是负责将Addata.dll在内存中加载，最终从其入口点处开始执行之。CWv鄂东网|www.xianzhaiwang.cn

Addata.dll的主要功能是下载者，其具体的行为仍然依赖于云端配置，其运行后首先会从云端下载配置文件，配置文件所在的URL为：http：//ad.sqc3.com/update/config.db，该URL硬编码在文件中。下载后解析配置文件，由配置文件来决定代码中的功能是否执行，以及具体的参数信息，能够实现的功能以及实际配置文件信息如下表所示：CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

代码细节：CWv鄂东网|www.xianzhaiwang.cn

1、Addata.dll中硬编码的配置文件URL信息CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

2、设置浏览器主页的相关代码CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

3、对下载的文件可进行不同的处理，这里还有一个很有意思的代码：DeleFileA，作者都凌乱了，真的很复杂！CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

4、Shellcode是通过NtSetInformationKey代入内核的CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

>>>点击xianzHaiwang.cn继续了解精彩的“暗云BootKit木马详细技术分析”CWv鄂东网|www.xianzhaiwang.cn

三、云端模块二行为CWv鄂东网|www.xianzhaiwang.cn

概述：CWv鄂东网|www.xianzhaiwang.cn

此模块为木马云端配置的第二个模块，由云端模块一下载后传递到内核执行，已相对较为复杂的加密算法进行加密，其中文件的前0×32字节为解密key，解密后的模块数据结构如下：CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

云端模块2解密后的数据结构CWv鄂东网|www.xianzhaiwang.cn

由于此木马同时兼容32位操作系统和64位操作系统，因此这个此模块包含两个版本，内核模块会根据操作系统的类型执行相应的Shellcode，因为两套代码功能完全一致，以下仅分析x86部分。CWv鄂东网|www.xianzhaiwang.cn

该模块首先被NtSetInformationKey传入内核，由内核模块从内核Shellcode开始执行，内核Shellcode的功能有如下两个：CWv鄂东网|www.xianzhaiwang.cn

1)结束指定杀软进程，包括kxetray.exe、kxescore.exe、QQPcTray.exe，由于管家的进程有object钩子防护，因此不会被干掉。CWv鄂东网|www.xianzhaiwang.cn

2)遍历进程，如果进程名为以下之一，则将尾部的应用层Shellcode 以apc的方式插入到该进程中，插入一个进程后便退出遍历，不再插其他进程。具体进程列表如下：360tray.exe、360safe.exe、360sd.exe、360rp.exe、zhudongfangyu.exe、QQPcRtp.exe、KSafeSvc.exe、KSafeTray.exe、BaiduSdTray.exe、BaiduAnTray.exe、BadduAnSvc.exe、BaiduHips.exe、BaiduProtect.exe、wscntfy.exe、spoolsv.exe、alg.exe，以上进程名均硬编码于Shellcode中。CWv鄂东网|www.xianzhaiwang.cn

应用层Shellcode被插入指定进程后开始执行，其功能是在内存中动态加载jmdm.dll文件并跳到其入口点执行。CWv鄂东网|www.xianzhaiwang.cn

jmdm.dll的主要功能依然是下载者，其代码与Addata.dll有60%以上的相似性，可以确定为同一份源码修改而来，其具体的行为仍然依赖于云端配置，其运行后首先会从云端下载配置文件，配置文件所在的URL为：http：//jm.sqc3.com/cn/jmdmpz.db，该URL硬编码在文件中。下载后解析配置文件，由配置文件来决定代码中的功能是否执行，以及具体的参数信息，能够实现的功能以及实际配置文件信息如下表所示：CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

以上行为执行完毕后，木马会等待下载的inst.exe、update.exe运行完毕后重新创建一个新的宿主进程，随后调用ExitProcess退出原始宿主进程。CWv鄂东网|www.xianzhaiwang.cn

代码细节：CWv鄂东网|www.xianzhaiwang.cn

1、调用ZwTerminateProcess结束安全软件进程kxetray.exe、kxescore.exe、QQPcTray.exe，由于管家的进程有object钩子防护，因此不会被干掉。CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

2、遍历进程，看进程是否在硬编码的进程列表中，如果是，则插入apc，找到一个进程之后跳出循环，即只向一个进程插入apc

暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址

文章地址: http://news.xianzhaiwang.cn/roll/547196.html