暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址(3)

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

3、插apc的具体代码CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

4、关闭名为\\Device\\qutmipc等的设备句柄，名称字符串硬编码于文件中CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

5、配置文件http：//jm.sqc3.com/cn/jmdmpz.db 的URL硬编码在文件中CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

6、下载指定URL的文件到本地，加载或者运行CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

>>>点击xianzHaiwang.cn继续了解精彩的“暗云BootKit木马详细技术分析”CWv鄂东网|www.xianzhaiwang.cn

四、木马的盈利推广部分行为CWv鄂东网|www.xianzhaiwang.cn

概述：CWv鄂东网|www.xianzhaiwang.cn

木马的最终目的只有一个——盈利，而inst.exe和update.exe，这连个落地的PE文件，则是真正能够使作者获得丰厚收益的模块，也是木马开始执行真正恶意的行为。CWv鄂东网|www.xianzhaiwang.cn

Inst.exe运行后首先在桌面上释放一个名为“美女视频聊天”的快捷方式，该快捷方式指向一个http：//haomm.com，并带了一个推广id，实现推广网站盈利。Inst.exe还会释放XnfBase.dll、thpro32.dll两个dll到%appdata%目录下，并通过注册服务的方式加载这两个dll。CWv鄂东网|www.xianzhaiwang.cn

XnfBase.dll实现的功能是LSP劫持，当用户使用浏览器浏览www.hao123.com、www.baidu.com等网站的时候在其网址尾部添加推广ID，从而实现获利。thpro32.dll实现的功能是：不断地删除系统中指定提供者的LSP，防止其他木马或安全软件通过LSP再次修改推广ID。CWv鄂东网|www.xianzhaiwang.cn

Update.exe运行后会创建两个svchost.exe傀儡进程，并将解密出的功能模块分别注入到两个进程中，一个负责向安卓手机安装推广app、另一个实现向含有“私服”等关键词的QQ群上传共享文件，用来推广私服游戏获利。CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

木马通过各种推广来实现盈利CWv鄂东网|www.xianzhaiwang.cn

代码细节：CWv鄂东网|www.xianzhaiwang.cn

1、当用户用浏览器访问www.baidu.com等网站时，为其添加推广id，实现推广获利CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

2、在桌面上创建的美女视频聊天快捷方式，推广haomm.com这个网站CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

3、不断检测是否有LSP模块，有则删除，保护自己的推广ID不被修改CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

4、向指定名称的QQ群上传私服游戏，进行私服游戏的推广CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址

文章地址: http://news.xianzhaiwang.cn/roll/547196.html