一、windows Loader

捕獲到一個偽裝成激活軟件WindowsLoader的病毒樣本。經(jīng)分析，該樣本并沒有激活功能，其主要功能是安裝廣告軟件以及挖礦程序。

挖礦程序會拉起系統(tǒng)進程并在其中注入挖礦代碼，并循環(huán)監(jiān)控taskmgr.exe進程，如果檢測到 taskmgr.exe進程則終止挖礦，使得受害者比較難以察覺。

1 病毒母體 病毒母體圖標偽裝成Windows Loader：

其實是用CreateInstall制作的安裝包：

安裝界面：

釋放如下幾個文件到C:Program Files (x86)KMSPico 10.2.1 Final目錄并運行腳本 WINLOADER_SETUP.BAT。

WINLOADER_SETUP.BAT依次運行WindowsLoader.exe、
Registry_Activation_2751393056.exe和 activation.exe。

WindowsLoader.exe與
Registry_Activation_2751393056.exe都是廣告軟件，activation.exe則是挖礦程序。

2 WindowsLoader.exe

首先是WindowsLoader.exe安裝界面：

會下載并安裝RunBooster：

安裝RunBooster服務：

RunBoosterUpdateTask升級任務計劃：

RunBooster的抓包行為：

3 Registry_Activation_2751393056.exe

Registry_Activation_2751393056.exe安裝界面：

功能存在問題，下載的exe文件沒有帶后綴名：

4 activation.exe 首先在Local目錄下新建cypjMERAky文件夾并將自己拷貝到下面。

添加注冊表自啟動項。

檢測是否存在taskmgr.exe進程。

如果taskmgr.exe進程不存在則拉起系統(tǒng)進程wuApp.exe，參數(shù)為" -a cryptonight -o stratum+
tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2"。

將挖礦程序注入到wuapp.exe進程。

挖礦程序為開源的cpuminer-multi 1.2-dev。

進入循環(huán)，守護注冊表自啟動項，并檢測taskmgr.exe進程，如果檢測到則終止wuapp.exe。

二、小馬激活

"小馬激活"病毒的第一變種只是單純地在瀏覽器快捷方式后面添加網(wǎng)址參數(shù)和修改瀏覽器首頁的注冊表項，以達到首頁劫持的目的。由于安全軟件的查殺和首頁保護功能，該版本并沒有長時間流行太長時間。其第二變種，在原有基礎上增強了與安全軟件的對抗能力。

由于其作為"系統(tǒng)激活工具"具有入場時間較早的優(yōu)勢，使用驅(qū)動與安全軟件進行主動對抗，使安全軟件無法正常運行。在其第三個變種中，其加入了文件保護和注冊表保護，不但增加了病毒受害者自救的難度，還使得反病毒工程師在處理用戶現(xiàn)場時無法在短時間之內(nèi)發(fā)現(xiàn)病毒文件和病毒相關的注冊表項。其第四個變種中，利用WMI中的永久事件消費者（ActiveScriptEventConsumer）注冊惡意腳本，利用定時器觸發(fā)事件每隔一段時間就會執(zhí)行一段VBS腳本，該腳本執(zhí)行之后會在瀏覽器快捷方式后面添加網(wǎng)址參數(shù)。該變種在感染計算機后，不會在計算機中產(chǎn)生任何文件，使得病毒分析人員很難發(fā)現(xiàn)病毒行為的來源，大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發(fā)展過程：

通過我們近期接到的用戶反饋，我們發(fā)現(xiàn)了"小馬激活"病毒的新變種。該變種所運用的對抗技術(shù)十分復雜，進一步增加了安全軟件對其有效處理的難度，甚至使得病毒分析人員通過遠程協(xié)助處理用戶現(xiàn)場變得更困難。這個"小馬激活"病毒的最新變種運行界面如下：

2 樣本分析

該病毒釋放的驅(qū)動文件通過VMProtect加殼，并通過過濾驅(qū)動的方式攔截文件系統(tǒng)操作（圖2），其目的是保護其釋放的動態(tài)庫文件無法被刪除。通過文件系統(tǒng)過濾驅(qū)動，使得系統(tǒng)中的其他進程在打開該驅(qū)動文件句柄時獲得的是tcpip.sys文件的句柄，如果強行刪除該驅(qū)動文件則會變?yōu)閯h除tcpip.sys文件，造成系統(tǒng)無法正常連接網(wǎng)絡。我們通過下圖可以看到火絨劍在查看文件信息時，讀取的其實是tcpip.sys文件的文件信息。由于此功能，使得病毒分析人員無法在系統(tǒng)中正常獲取該驅(qū)動的樣本。

該驅(qū)動通過注冊關機回調(diào)在系統(tǒng)關機時該驅(qū)動會將自身在%SystemRoot%System32Drivers目錄重新拷貝成隨機名字的新驅(qū)動文件，并將驅(qū)動信息寫入注冊表，以便于下一次時啟動加載。在驅(qū)動加載之

后，其會將locc.dll注入到explorer.exe進程中。該驅(qū)動對locc.dll文件也進行了保護，當試圖修改或者刪除該動態(tài)庫時，會彈出錯誤提示"文件過大"。

當病毒的驅(qū)動將locc.dll注入到explorer.exe進程后會執(zhí)行首頁劫持相關邏輯。通過火絨劍的內(nèi)存轉(zhuǎn)儲，我們可以看到該病毒鎖定的所有網(wǎng)址。

l l l l l l l l l l l l l l l l l

通過抓取上述網(wǎng)址中的網(wǎng)頁信息，我們可以發(fā)現(xiàn)上述網(wǎng)址中存放的其實是一個跳轉(zhuǎn)頁。通過使用跳轉(zhuǎn)頁面，病毒作者可以靈活調(diào)整計費鏈接和推廣網(wǎng)址，并且對來自不同瀏覽器的流量進行分類統(tǒng)計。

三、解決方案

（1） 不從不明網(wǎng)站下載軟件，不要點擊來源不明的郵件以及附件；

（2） 及時給電腦打補丁，修復漏洞；

（3） 盡量關閉不必要的文件共享權(quán)限以及關閉不必要的端口，如：445,135,139,3389等；

（4） 安裝專業(yè)的終端/服務器安全防護軟件，深信服EDR能夠有效查殺該病毒。

探討滲透測試及黑客技術(shù)，請關注并私信我。#小白入行網(wǎng)絡安全# #安界網(wǎng)人才培養(yǎng)計劃#