|
1.自动保护
(1)boot extender加载,使用原生zwxxxxkey函数操作注册表,检测自己的服务项是否被删除,如果被删除,则暴力重写回去
(2)使用fsd hook,保护自己的驱动文件和dll不被删除
2.隐藏启动
驱动检测到系统启动后即向runonce启动项写一个启动项,然后该项目就会被删除,其dll就无痕迹地加载了,使用任何软件无法检测出其dll的启动项
3.域名劫持
使用了特殊的手段,通过zwcreatefile的hook,以及fsd hook,当检测到以下进程读取hosts表时,将它们的读写定位到自己的一个hosts文件:
theworld.exe( 世界之窗浏览器)
svchost.exe
services.exe (以上两个是系统的服务以及域名解析进程,可以影响其他的大部分网络访问)
theworldxp.exe (世界之窗浏览器xp)
maxthon.exe (傲游浏览器)
max.exe (同上)
ttraveler.exe (腾讯浏览器)
myie.exe (myie浏览器)
greenbrowser.exe (绿色浏览器)
firefox.exe (火狐浏览器)
被修改hosts文件的内容为:
61.141.31.11 www.kzdh.com
61.141.31.11 www.7255.com
61.141.31.11 www.7322.com
61.141.31.11 www.7939.com
61.141.31.11 www.piaoxue.com
61.141.31.11 www.feixu.net
61.141.31.11 www.6781.com
61.141.31.11 www.7b.com.cn
61.141.31.11 www.918188.com
61.141.31.11 hao.allxue.com
61.141.31.11 good.allxue.com
61.141.31.11 baby.allxue.com
61.141.31.11 www.allxue.com
61.141.31.11 about.lank.la
61.141.31.11 www.x114x.com
61.141.31.11 www.37ss.com
61.141.31.11 www.7k.cc
61.141.31.11 www.73ss.com
61.141.31.11 www.hao123.com
61.141.31.11 www.81915.com
61.141.31.11 www.9991.com
61.141.31.11 www.my123.com
61.141.31.11 www.haokan123.com
61.141.31.11 www.5566.net
61.141.31.11 www.gjj.cc
61.141.31.11 www.2345.com
61.141.31.11 www.123wa.com
61.141.31.11 www.ku886.com
61.141.31.11 www.5icrack.com
61.141.31.11 www.jjol.cn
61.141.31.11 www.xinhai168.com
61.141.31.11 ooooos.com
61.141.31.11 www.ooooos.com
61.141.31.11 www.8757.com
61.141.31.11 4199.5009.com
61.141.31.11 www.13886.cn
61.141.31.11 www.8757.com
61.141.31.11 www.baidu345.com
61.141.31.11 www.dedewang.com
61.141.31.11 allxun.5009.cn
61.141.31.11 4199.5009.cn
61.141.31.11 yahoo.5009.cn
61.141.31.11 tom.5009.cn
61.141.31.11 zh130.5009.cn
61.141.31.11 piaoxue.5009.cn
61.141.31.11 3448.5009.cn
61.141.31.11 ttmp3.5009.cn
61.141.31.11 fx120.5009.cn
61.141.31.11 7939.5009.cn
61.141.31.11 99488.5009.cn
61.141.31.11 7333.5009.cn
61.141.31.11 www.ld123.com
61.141.31.11 www.anyiba.com
61.141.31.11 www.999991.cn
61.141.31.11 www.hao123.cn
以上的55个网站将全部被重定向到61.141.31.11,页面和hao123完全一样,但并不是hao123的,据查ip地址是4199.com的,之前也被其利用来屏蔽其它网址
这个hosts表修改手段无法被目前任何相关检查软件检查到
下面是驱动部分技术分析:
autoprt.sys version 1-30
1.boot加载,在load时就取到zwopenkey,zwsetvaluekey,zwclose的地址
等到systemroot初始化完毕后再通过分析nt kernel获取zwopenkey,zwsetvaluekey,zwclose的地址,总之确保systemthread2用来写注册表的zw*key函数是没被hook的
2.systemroot加载成功后,即hook 其所在的fsd的irp_mj_setinformation
(这里irp_mj_create没有被启用)
irp_mj_setinformation的hook作用是过滤对其驱动文件和dll文件的setinformation(irp_mj_file_system_control,irp_mj_query_volume_information)操作
3.hook zwcreatefile,zwloaddriver
zwcreatefile将以下进程对system32\\drivers\\etc\\hosts的打开重定位到其自定义的hosts文件:winttrs上:
theworld.exe
svchost.exe
services.exe
theworldxp.exe
maxthon.exe
max.exe
ttraveler.exe
myie.exe
greenbrowser.exe
firefox.exe
这样第三方的检测工具或者用记事本打开就无法发现hosts文件被篡改
winttrs由r3部分的dll从固定地址download下来
irp_mj_create的hook也是做同样的工作,不过没有启用
zwloaddriver的hook阻止包含了isdrv和ispubdrv的驱动项目启动
即禁止icesword加载
4.驱动在boot时使用pssetcreateprocessnotifyroutine创建一个createprocessnotifyroutine
当检测到userinit.exe被加载时就会启动systemthread2,作用是向\registry\machine\software\microsoft\windows\currentversion\runonce
写入
%%systemroot%%\system32\rundll32.exe %%systemroot%%\system32\%s.dll,run
否则就会执行systemthread1,直到检测到winlogon进程结束时停止
5.boot时会创建systemthread1,作用时检测自身的服务项是否正确,若不正确,则重写之
| 
4199简介