恶性木马下载器“幽虫”分析
字数 2142 2025-08-18 11:37:42

"幽虫"木马下载器深度分析与防御指南

一、概述

"幽虫"是一种恶性木马下载器家族,自2018年下半年开始活跃传播。该木马具有以下特点:

  1. 传播范围:累计感染超过40万台机器,单日最高感染近10万台
  2. 传播方式
    • 捆绑在外挂或破解软件中
    • 伪装成系统激活工具(如"xiaoma"激活工具)
    • 植入盗版系统
  3. 主要危害
    • 篡改浏览器主页
    • 静默安装推广程序或病毒木马
    • 推送其他恶意软件(盗号、下载者、刷量、rootkit等)

二、技术分析

1. 感染流程

  1. 母体样本启动
  2. 释放并运行驱动加载器svchost.exe
  3. 驱动加载器解密.rc1节区内的驱动文件
  4. 检查注册表HKLM\SOFTWARE\Wow6432Node\VolmgrmntHome是否存在(存在则退出)
  5. 安装驱动成功后请求Web服务器进行日志统计

2. 驱动模块功能

2.1 初始化过程

  1. 检查感染标志
  2. 创建通信设备"volmgrmnt"
  3. 创建感染标志文件%SystemRoot%\temp\MpCz01.tmp
  4. 获取关键函数:
    • ZwReadVirtualMemory
    • ZwWriteVirtualMemory
    • ZwProtectVirtualMemory
  5. 检查KdDebuggerEnabled标志(内核调试开启则停止)
  6. 解密两个版本的DLL模块(用于进程注入)

2.2 回调注册

  1. 进程创建回调
  2. 模块加载回调
  3. 创建TDI过滤设备\\Device\\CFPTcpFlt(挂接到\\Device\\Tcp)
  4. 注册表操作回调
  5. 在低版本系统上卸载安全软件的进程创建/模块加载回调

2.3 文件系统过滤

前置操作(pre_flt_580DB94)规则

  1. 放行主流浏览器、安全软件安装包
  2. 阻止360安全卫士、电脑管家等关键模块
  3. 阻止安全软件急救箱关键模块
  4. 重解析驱动文件为同路径下acpi.sys
  5. 特定情况下禁止浏览器加载安全防护模块
  6. 其他情况放行

后置操作(post_flt_580F400)规则

  1. 放行主流浏览器、安全软件安装包
  2. 对explorer和安全软件访问\drivers*目录返回无文件

2.4 进程注入技术

  1. 在进程创建回调中比对进程文件名hash值
  2. 修改ntdll.dll内存属性
  3. 在模块加载回调中写入shellcode
  4. 插入APC执行shellcode
  5. shellcode加载DLL模块并执行

2.5 注册表操作过滤

过滤安全软件对包含驱动本体路径的注册表项操作

2.6 设备通信

通过\DosDevices\volmgrmnt设备与应用层DLL模块通信,维护:

  • 文件监控列表
  • 进程监控列表
  • 网络监控列表
  • 支持驱动本体文件更新

3. 应用层DLL模块

3.1 功能分发

根据当前进程名称执行不同功能:

进程名 功能
explorer.exe 浏览器劫持
其他进程 下载执行、暗刷等

3.2 配置文件获取

  1. 驱动加载器将配置写入注册表
  2. 驱动程序读出后写入DLL模块的.rtext节
  3. DLL解析加密数据获取配置(包含bkcurl字段)
  4. 访问bkcurl获取最终配置(包含主页锁定链接、劫持进程列表、下载任务等)

3.3 浏览器劫持技术

通过带参数重启方式替换浏览器默认主页

3.4 通信机制

  1. 解析ca.jp.ix[a-e].cose.domain获取假IP
  2. 通过内部换算得到真实C&C服务器IP
  3. 与主控服务器通信执行功能

3.5 衍生物功能

  1. 网页暗刷:模拟用户访问刷流量
  2. 下载者功能
    • 判断运行环境(避开分析环境和沙箱)
    • 与C&C服务器通信获取下载任务
    • 下载并执行恶意程序

三、传播与感染特征

1. 传播方式

  1. 捆绑在外挂或破解软件中
  2. 伪装成系统激活工具(如"xiaoma")
  3. 植入盗版系统

2. 感染数据统计

  1. 时间分布:2018-10-3至2018-11-9,累计感染91万次(去重后41万)
  2. 系统分布
    • Win7系统占比84%
    • Win10占比低(多为预装正版)
  3. 地区分布
    • 广东
    • 山东
    • 河南
    • 江苏

四、防御措施

1. 预防建议

  1. 使用正版操作系统和软件
  2. 从正规渠道下载软件(如官方网站或360软件管家)
  3. 避免使用来历不明的激活工具和Ghost系统
  4. 安装并开启360安全卫士的全面防护功能

2. 检测与清除

  1. 使用360急救箱进行检查
  2. 检查以下异常项:
    • 注册表HKLM\SOFTWARE\Wow6432Node\VolmgrmntHome
    • 文件%SystemRoot%\temp\MpCz01.tmp
    • 设备\DosDevices\volmgrmnt
    • 异常驱动文件(可能伪装为acpi.sys)

五、IOC(失陷指标)

1. URL/HOST/IP

hxxp://www.tj678.top
www.rminicpm.com
m.yinuolm.com
hxxp://pv.mupeng1688.com
ca.jp.ix[a-e].cose.space
hxxp://www.dqzsy.com/fjr666.ini
hxxp://2345dh.ps1f.com
www.mini00.com

2. 文件哈希(MD5)

01ccb04891ef1c19a5d750e79b3e2da
59eb7f61033a4b0131e1906ad1831372c
b98b041ae51316cd0f544900ccbf76a4
1b81e2e0919989776e2316a003421f2d
31aee7df1b47a6183061d94e6479e551
df9899c792145395bbc4d5b8795d98c1
fb3fa1d078912fbdacece1685a2333d1

六、总结

"幽虫"木马下载器是一个高度隐蔽、功能复杂的恶意软件家族,具有以下特点:

  1. 采用多层技术架构(驱动+应用层DLL)
  2. 使用多种反检测技术(文件重解析、回调过滤等)
  3. 具备完善的通信机制(域名解析欺骗、加密配置)
  4. 通过"CPM"模式推送多种恶意软件获利

防御此类威胁需要结合技术防护和用户安全意识教育,特别要警惕非正规渠道获取的软件和系统。

"幽虫"木马下载器深度分析与防御指南 一、概述 "幽虫"是一种恶性木马下载器家族,自2018年下半年开始活跃传播。该木马具有以下特点: 传播范围 :累计感染超过40万台机器,单日最高感染近10万台 传播方式 : 捆绑在外挂或破解软件中 伪装成系统激活工具(如"xiaoma"激活工具) 植入盗版系统 主要危害 : 篡改浏览器主页 静默安装推广程序或病毒木马 推送其他恶意软件(盗号、下载者、刷量、rootkit等) 二、技术分析 1. 感染流程 母体样本启动 释放并运行驱动加载器svchost.exe 驱动加载器解密.rc1节区内的驱动文件 检查注册表HKLM\SOFTWARE\Wow6432Node\VolmgrmntHome是否存在(存在则退出) 安装驱动成功后请求Web服务器进行日志统计 2. 驱动模块功能 2.1 初始化过程 检查感染标志 创建通信设备"volmgrmnt" 创建感染标志文件 %SystemRoot%\temp\MpCz01.tmp 获取关键函数: ZwReadVirtualMemory ZwWriteVirtualMemory ZwProtectVirtualMemory 检查KdDebuggerEnabled标志(内核调试开启则停止) 解密两个版本的DLL模块(用于进程注入) 2.2 回调注册 进程创建回调 模块加载回调 创建TDI过滤设备 \\Device\\CFPTcpFlt (挂接到 \\Device\\Tcp ) 注册表操作回调 在低版本系统上卸载安全软件的进程创建/模块加载回调 2.3 文件系统过滤 前置操作(pre_ flt_ 580DB94)规则 : 放行主流浏览器、安全软件安装包 阻止360安全卫士、电脑管家等关键模块 阻止安全软件急救箱关键模块 重解析驱动文件为同路径下acpi.sys 特定情况下禁止浏览器加载安全防护模块 其他情况放行 后置操作(post_ flt_ 580F400)规则 : 放行主流浏览器、安全软件安装包 对explorer和安全软件访问 \drivers* 目录返回无文件 2.4 进程注入技术 在进程创建回调中比对进程文件名hash值 修改ntdll.dll内存属性 在模块加载回调中写入shellcode 插入APC执行shellcode shellcode加载DLL模块并执行 2.5 注册表操作过滤 过滤安全软件对包含驱动本体路径的注册表项操作 2.6 设备通信 通过 \DosDevices\volmgrmnt 设备与应用层DLL模块通信,维护: 文件监控列表 进程监控列表 网络监控列表 支持驱动本体文件更新 3. 应用层DLL模块 3.1 功能分发 根据当前进程名称执行不同功能: | 进程名 | 功能 | |--------|------| | explorer.exe | 浏览器劫持 | | 其他进程 | 下载执行、暗刷等 | 3.2 配置文件获取 驱动加载器将配置写入注册表 驱动程序读出后写入DLL模块的.rtext节 DLL解析加密数据获取配置(包含bkcurl字段) 访问bkcurl获取最终配置(包含主页锁定链接、劫持进程列表、下载任务等) 3.3 浏览器劫持技术 通过带参数重启方式替换浏览器默认主页 3.4 通信机制 解析ca.jp.ix[ a-e ].cose.domain获取假IP 通过内部换算得到真实C&C服务器IP 与主控服务器通信执行功能 3.5 衍生物功能 网页暗刷 :模拟用户访问刷流量 下载者功能 : 判断运行环境(避开分析环境和沙箱) 与C&C服务器通信获取下载任务 下载并执行恶意程序 三、传播与感染特征 1. 传播方式 捆绑在外挂或破解软件中 伪装成系统激活工具(如"xiaoma") 植入盗版系统 2. 感染数据统计 时间分布 :2018-10-3至2018-11-9,累计感染91万次(去重后41万) 系统分布 : Win7系统占比84% Win10占比低(多为预装正版) 地区分布 : 广东 山东 河南 江苏 四、防御措施 1. 预防建议 使用正版操作系统和软件 从正规渠道下载软件(如官方网站或360软件管家) 避免使用来历不明的激活工具和Ghost系统 安装并开启360安全卫士的全面防护功能 2. 检测与清除 使用360急救箱进行检查 检查以下异常项: 注册表HKLM\SOFTWARE\Wow6432Node\VolmgrmntHome 文件 %SystemRoot%\temp\MpCz01.tmp 设备 \DosDevices\volmgrmnt 异常驱动文件(可能伪装为acpi.sys) 五、IOC(失陷指标) 1. URL/HOST/IP 2. 文件哈希(MD5) 六、总结 "幽虫"木马下载器是一个高度隐蔽、功能复杂的恶意软件家族,具有以下特点: 采用多层技术架构(驱动+应用层DLL) 使用多种反检测技术(文件重解析、回调过滤等) 具备完善的通信机制(域名解析欺骗、加密配置) 通过"CPM"模式推送多种恶意软件获利 防御此类威胁需要结合技术防护和用户安全意识教育,特别要警惕非正规渠道获取的软件和系统。