分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

密室内的枪声!“双枪2”感染过程实录

前言

去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。

与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。

与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如设置了封闭的案发环境,对中招电脑进行了一次“密室枪杀”。

以下是对“双枪2”感染过程的详细分析。

1 安装包过程

1.1初始化配置

用户提供的样本安装包,安装包是带渠道号的,运行这个安装包后就会从网上下载一个DLL文件内存执行,下面是下载DLL文件并内存加载执行的流程:

安装包入口函数:

图片1.png

该函数主要为获取ChannelId 并且设置上:

图片2.png

从文件名中获取:

图片3.png

而后设置到注册表中,后续服务器通信,打点回传都会用到该数据。