上周五我們發布了逆鬼借下載器瘋狂傳播,360安全衛士獨家攔截後,木馬作者見此情況,于周日16号下午17點趕緊再換馬甲,僞裝成内網安全加固軟件安裝包試圖逃脫360安全大腦的監控,不幸的是又被安全大腦再度秒殺
樣本分析
安裝包運行後,釋放白利用文件到 %userprofile%\appdata\roaming\gkr2\目錄下
目錄結構如下:
其中%appdate%\GKR2\InstDrv.dll 内存解密加載程序
%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木馬程序
主程序啟動後會自動加載導入表中的InstDrv.dll文件
InstDrv.dll部分
該DLL入口點并無異常
InstDrv.dll文件在初始化的過程中進行解密木馬原文
加的偏移地址0xF0BC 其實是GetModuleHandle
調試函數顯示
後續函數為:
然後執行到關鍵解密加載寫入VBR模塊函數,主要是讀取本目錄下的ktop.dat文件解密執行:
而sub_1000E7EE其實為獲取Kernel32基地址,搜PEB中LDR結果體獲取:
然後獲取函數地址:
函數主要 執行過程為:
ShellCode部分
進入Shellcode後
調用DllMain函數
入口點函數為:
開線程開始幹活,打點上傳用戶信息:
然後篡改系統VBR
VBR跳轉執行
申請高端内存:
判斷特征碼挂鈎處理:
目前360已經可以攔截和查殺逆鬼木馬:
安全衛士查殺
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
