上周五我们发布了逆鬼借下载器疯狂传播,360安全卫士独家拦截后,木马作者见此情况,于周日16号下午17点赶紧再换马甲,伪装成内网安全加固软件安装包试图逃脱360安全大脑的监控,不幸的是又被安全大脑再度秒杀
样本分析
安装包运行后,释放白利用文件到 %userprofile%\appdata\roaming\gkr2\目录下
目录结构如下:
其中%appdate%\GKR2\InstDrv.dll 内存解密加载程序
%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木马程序
主程序启动后会自动加载导入表中的InstDrv.dll文件
InstDrv.dll部分
该DLL入口点并无异常
InstDrv.dll文件在初始化的过程中进行解密木马原文
加的偏移地址0xF0BC 其实是GetModuleHandle
调试函数显示
后续函数为:
然后执行到关键解密加载写入VBR模块函数,主要是读取本目录下的ktop.dat文件解密执行:
而sub_1000E7EE其实为获取Kernel32基地址,搜PEB中LDR结果体获取:
然后获取函数地址:
函数主要 执行过程为:
ShellCode部分
进入Shellcode后
调用DllMain函数
入口点函数为:
开线程开始干活,打点上传用户信息:
然后篡改系统VBR
VBR跳转执行
申请高端内存:
判断特征码挂钩处理:
目前360已经可以拦截和查杀逆鬼木马:
安全卫士查杀
