密室内的枪声!“双枪2”木马感染过程实录
字数 1412 2025-08-18 11:37:11

"双枪2"木马感染过程分析与防护指南

一、木马概述

"双枪2"是"双枪"木马的新变种,主要特征如下:

  1. 感染目标:以篡改电脑主页为目的,将浏览器主页篡改为带有"33845"编号的网址导航站
  2. 技术特点
    • 使用VBR(卷引导记录)和MBR(磁盘主引导记录)驱动进行相互保护
    • 查杀难度超过"鬼影"、"暗云"等顽固木马
  3. 传播方式:主要通过下载站进行传播
  4. 新增特性
    • 增加与杀毒软件的对抗策略,拦截杀软文件创建
    • 锁定系统注册表HIVE文件,导致正常服务项无法写入
    • 采用"密室枪杀"技术封闭系统环境

二、感染过程详细分析

1. 安装包执行阶段

1.1 初始化配置

  • 安装包入口函数获取ChannelId(渠道号)
  • 渠道号来源:
    • 从文件名中提取("_"或"."后面的数字)
    • 设置到注册表中,用于后续服务器通信和数据回传

1.2 服务配置读取与解析

  • 格式化通信数据并进行加密
  • 发送加密数据到服务器
  • 下载并解析服务器返回的配置文件
    • 服务器会根据客户端IP进行判断(如北京IP返回空数据)

1.3 下载并加载驱动模块

  • 根据配置中的URL下载DLL文件
  • 验证文件MD5与配置是否一致
  • 解密数据并加载:
    • 如果不是PE头,进行异或解密
    • 修正导入表函数
    • 分配内存空间并调用入口点函数
    • 调用导出函数DllUpdate

2. 驱动模块释放与安装

2.1 环境检测

  • 通过DllUpdate函数进行多项检测:
    • 打点统计(将统计数据发送到服务器)
    • 判断文件系统和驱动文件完整性
    • 区分系统架构(x86/x64)
    • 检测系统目录下配置文件是否存在
    • 检测自身驱动是否已加载(通过判断设备名是否存在)
    • 虚拟机检测(主要检测磁盘类型)
    • 生成随机设备名

2.2 恶意驱动下载与安装

  • 从服务器下载驱动文件(区分32/64位系统)
  • 获取并验证渠道号
  • 初始化校验Key方法
  • 下载驱动文件并校验
  • 初始化驱动安装相关系统函数
  • 基于当前时间计算随机驱动文件名
  • 安装前环境检测(检测安全工具)
  • 驱动安装过程:
    • 提权操作
    • 写入驱动文件(每次0x2000字节循环写入)
    • 写入服务项
    • 加载驱动

3. 附加恶意功能

  • 接受服务器指令
  • 统计并上传客户端信息:
    • 网卡MAC地址
    • 机器PCID
    • 私服相关驱动信息
    • 杀毒软件信息
    • 虚拟机检测(VMWare)
  • 内存加载执行恶意DLL

三、技术特点总结

  1. 多阶段加载:采用安装包→DLL→驱动的多阶段加载方式
  2. 环境感知:具备全面的环境检测能力,包括:
    • 系统架构识别
    • 虚拟机检测
    • 安全软件检测
  3. 持久化机制
    • MBR/VBR双重感染
    • 服务项注入
    • 注册表锁定
  4. 隐蔽通信
    • 加密数据传输
    • 渠道号跟踪
    • 统计信息回传
  5. 反分析技术
    • 代码解密
    • 内存加载
    • 随机文件名生成

四、防护与查杀建议

  1. 预防措施

    • 避免下载来历不明的软件
    • 不要轻易关闭杀毒软件
    • 使用正规下载渠道

  2. 检测方法

    • 浏览器主页被篡改为带有"33845"编号的网址
    • 系统出现卡顿、变慢等异常情况
    • 杀毒软件功能异常

  3. 查杀工具

    • 使用360安全卫士(具备MBR/VBR修复能力)
    • 全盘扫描查杀

  4. 后续防护

    • 保持安全软件更新
    • 关注安全厂商的最新分析报告

五、技术对抗演进

"双枪2"相比前代的主要技术升级:

  1. 传播渠道从单一方式扩展为下载站传播
  2. 增加了更复杂的反杀软技术
  3. 引入"密室枪杀"技术封锁系统环境
  4. 增强了环境检测和虚拟化对抗能力

安全厂商需要持续追踪此类木马的演变,开发更先进的检测和修复技术。

"双枪2"木马感染过程分析与防护指南 一、木马概述 "双枪2"是"双枪"木马的新变种,主要特征如下: 感染目标 :以篡改电脑主页为目的,将浏览器主页篡改为带有"33845"编号的网址导航站 技术特点 : 使用VBR(卷引导记录)和MBR(磁盘主引导记录)驱动进行相互保护 查杀难度超过"鬼影"、"暗云"等顽固木马 传播方式 :主要通过下载站进行传播 新增特性 : 增加与杀毒软件的对抗策略,拦截杀软文件创建 锁定系统注册表HIVE文件,导致正常服务项无法写入 采用"密室枪杀"技术封闭系统环境 二、感染过程详细分析 1. 安装包执行阶段 1.1 初始化配置 安装包入口函数获取ChannelId(渠道号) 渠道号来源: 从文件名中提取("_ "或"."后面的数字) 设置到注册表中,用于后续服务器通信和数据回传 1.2 服务配置读取与解析 格式化通信数据并进行加密 发送加密数据到服务器 下载并解析服务器返回的配置文件 服务器会根据客户端IP进行判断(如北京IP返回空数据) 1.3 下载并加载驱动模块 根据配置中的URL下载DLL文件 验证文件MD5与配置是否一致 解密数据并加载: 如果不是PE头,进行异或解密 修正导入表函数 分配内存空间并调用入口点函数 调用导出函数DllUpdate 2. 驱动模块释放与安装 2.1 环境检测 通过DllUpdate函数进行多项检测: 打点统计(将统计数据发送到服务器) 判断文件系统和驱动文件完整性 区分系统架构(x86/x64) 检测系统目录下配置文件是否存在 检测自身驱动是否已加载(通过判断设备名是否存在) 虚拟机检测(主要检测磁盘类型) 生成随机设备名 2.2 恶意驱动下载与安装 从服务器下载驱动文件(区分32/64位系统) 获取并验证渠道号 初始化校验Key方法 下载驱动文件并校验 初始化驱动安装相关系统函数 基于当前时间计算随机驱动文件名 安装前环境检测(检测安全工具) 驱动安装过程: 提权操作 写入驱动文件(每次0x2000字节循环写入) 写入服务项 加载驱动 3. 附加恶意功能 接受服务器指令 统计并上传客户端信息: 网卡MAC地址 机器PCID 私服相关驱动信息 杀毒软件信息 虚拟机检测(VMWare) 内存加载执行恶意DLL 三、技术特点总结 多阶段加载 :采用安装包→DLL→驱动的多阶段加载方式 环境感知 :具备全面的环境检测能力,包括: 系统架构识别 虚拟机检测 安全软件检测 持久化机制 : MBR/VBR双重感染 服务项注入 注册表锁定 隐蔽通信 : 加密数据传输 渠道号跟踪 统计信息回传 反分析技术 : 代码解密 内存加载 随机文件名生成 四、防护与查杀建议 预防措施 : 避免下载来历不明的软件 不要轻易关闭杀毒软件 使用正规下载渠道 检测方法 : 浏览器主页被篡改为带有"33845"编号的网址 系统出现卡顿、变慢等异常情况 杀毒软件功能异常 查杀工具 : 使用360安全卫士(具备MBR/VBR修复能力) 全盘扫描查杀 后续防护 : 保持安全软件更新 关注安全厂商的最新分析报告 五、技术对抗演进 "双枪2"相比前代的主要技术升级: 传播渠道从单一方式扩展为下载站传播 增加了更复杂的反杀软技术 引入"密室枪杀"技术封锁系统环境 增强了环境检测和虚拟化对抗能力 安全厂商需要持续追踪此类木马的演变,开发更先进的检测和修复技术。