传奇病毒劫持流量手法分析
技术点
通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手法篡改用户系统网络数据包,将正常网页访问劫持引流至指定私服网站,并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现对抗查杀。
技术细节
- A、注册TDI回调函数,过滤收发包
病毒驱动加载后,对TDI_SEND和TDI_SET_EVENT_HANDLER进行了处理,前者主要是负责网络数据的发包,后者则是负责对接收到网络数据进行处理,对这两个地方进行过滤处理之后,带来的效果就是访问A域名,实际打开的却是B网站。
在TDI_SEND中,通过检测360与其云端的通讯时的关键字段“x-360-ver:”,中断云查询,从而造成云查杀的失效。在TDI_SET_EVENT_HANDLER中,收到符合规则的请求响应数据后,病毒直接修改数据包,嵌入相应的HTML框架代码进行劫持
- B、设置IE代理,劫持HTTP访问
设置IE代理的目的,猜测是为了在病毒驱动被杀软清理后,依旧能够长期劫持网站访问所用。IE的代理配置信息由云端实时下发。
- C、创建关机回调,劫持DNS和自更新
下载劫持的DNS配置信息,然后在关机回调中设置电脑的DNS,从而完成DNS的修改劫持
- D、 创建映像加载回调,拦截其它病毒运行
在映像加载回调中,为了确保被感染的电脑能够被自己成功劫持,当检测到当前加载的是驱动程序时,还会对比签名是否为黑名单中的签名(黑名单从106.14.47.210:11054/bctlist.dat下载而来),若符合拦截规则,则直接禁止加载。
- E、 创建注册表回调,保护自身启动
在注册表回调中,若发现有对IE代理设置和驱动服务类注册表项的操作,则直接拒绝访问,防止相关注册表项被修改。
除此之外,病毒还会循环枚举注册表回调函数的地址,若检测到被删除,则会再次注册回调函数,这么做为了防止用户利用pchunter之类的ARK工具对回调函数进行删除操作,使病毒难以被手动清除。但如果是病毒程序自身升级需要修改相关的注册表项时,则会利用开关标记来暂停对相关注册表项的保护。
- F、 下载配置信息,实时更新劫持信息
无需与3环进程交互,完全由0环的驱动实现,而相关的配置信息,也统一从远程服务器下载。
参考
私服暗藏杀机,亡灵病毒肆虐江湖
https://www.freebuf.com/articles/system/198869.html
转载于:https://www.cnblogs.com/17bdw/p/10591513.html
传奇病毒劫持流量手法分析相关推荐
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
- 警惕!国内已有5000余个网站中招!关于一种大规模的暗链劫持流量的风险提示
近期,安恒信息中央研究院零壹实验室.回声实验室共同监测发现一种新型全局劫持的暗链植入行为,区别于传统的全局劫持,本次暗链植入手段隐蔽性极强,针对不同访问对象.不同页面设计了不同的响应方式.据不完全统计 ...
- 知名软件ADSafe暗藏恶意代码 从众多网站劫持流量
一. 概述 日前,火绒安全团队发现"ADSafe净网大师"."清网卫士". "广告过滤大师"等多款知名软件暗藏恶意代码,偷偷劫持用户流量.这 ...
- 一个淘宝客劫持木马的分析
一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...
- 劫持流量原理是什么?关于劫持流量的种类和产生
流量圈的故事很多,劫持与反劫持的故事在很长时间内将继续演绎下去.流量是很多互联网企业赖以生存的基础,通过优秀的产品去获得用户和流量是唯一的正途,用户的信任来之不易,且行且珍惜.那么你的流量都被劫持到哪 ...
- 网络安全运维流量攻击分析需要掌握的核心能力有什么
网络安全运维流量攻击分析需要掌握的核心能力 1.掌握sql注入攻击的流量特征 2.掌握XSS攻击的流量特征 掌握WebShell工具流量特征 3.掌握基于文件上传漏洞攻击的流量特征 4.掌握反序列化攻 ...
- 斐讯免费路由的内幕与真相:留后门劫持流量窃取用户隐私
斐讯免费路由的内幕与真相:留后门劫持流量窃取用户隐私 所属分类:业界资讯 路由器是个人用户在互联网世界中最最底层的入口,或者说是通往用户的物理大门.在相当长一段时间内,路由器都没有得到相应的重视,到了 ...
- Mac恶意软件DoK变种 劫持流量并重定向至钓鱼页面 主要攻击瑞士金融机构
瑞士Operation Emmental黑客行动背后的始作俑者,开始使用Dok Mac OS X 恶意软件 的变种来攻击瑞士银行.在 2014年7月, 趋势科技的恶意软件研究人员发表了一份关于黑客行动 ...
- ndpi 流量协议分析
目录 1.nDPI介绍 2.nDPI库 3.示例 4.API nDPI 5.开发nDPI自定义协 1.nDPI介绍 nDPI是一个基于OpenDPI的DPI库,目前由ntop维护. 为了给您提供一个跨 ...
- 文献记录(part52)--基于度相关性的病毒传播模型及其分析
学习笔记,仅供参考,有错必纠 关键词:互联网拓扑:度相关性:病毒传播:DPR 算法:SIS-DVDI: 基于度相关性的病毒传播模型及其分析 摘要 近年来网络病毒传播已对网络安全构成严重威胁 . 研究表 ...
最新文章
- 赠书 | 2021年中国数字政府发展指数排名出炉!你的家乡名列第几?
- epoll 版 高并发服务器
- Office安装源损坏
- sparkstreaming监听hdfs目录_大数据系列之Spark Streaming接入Kafka数据
- 以太网供电新标准POE+,IEEE802.3at解析
- LeetCode 72. 编辑距离(DP)
- 你愿意隐姓埋名一辈子吗?” #百年百人系列
- OpenCV探索之路(十):图像修复技术
- sublime text3创建文件时生成头部注释
- mencoder_有用的Mplayer / Mencoder命令
- Spotfire 设置 组合图表的刻度范围
- 微信分享至朋友圈和朋友接口
- c语言中结构体定义中的“冒号”
- 贝叶斯算法(bayesian)在GCMail反垃圾邮件系统中的应用
- python--spilt和strip用法
- 自我营销(转帖自 	 TI E2E 工程师社区 (Beta))
- 仿小米商城官网首页模板(HTML+CSS)
- C Primer Plus 第7章之菜鸟儿的编程题答案
- Windows修改MySQL用户密码
- 计算机系统配置有哪些内容,组装电脑主要配置有哪些丨组装电脑主要配置图解...