技术点

通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手法篡改用户系统网络数据包,将正常网页访问劫持引流至指定私服网站,并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现对抗查杀。

技术细节

  • A、注册TDI回调函数,过滤收发包

病毒驱动加载后,对TDI_SEND和TDI_SET_EVENT_HANDLER进行了处理,前者主要是负责网络数据的发包,后者则是负责对接收到网络数据进行处理,对这两个地方进行过滤处理之后,带来的效果就是访问A域名,实际打开的却是B网站。

在TDI_SEND中,通过检测360与其云端的通讯时的关键字段“x-360-ver:”,中断云查询,从而造成云查杀的失效。在TDI_SET_EVENT_HANDLER中,收到符合规则的请求响应数据后,病毒直接修改数据包,嵌入相应的HTML框架代码进行劫持

  • B、设置IE代理,劫持HTTP访问

设置IE代理的目的,猜测是为了在病毒驱动被杀软清理后,依旧能够长期劫持网站访问所用。IE的代理配置信息由云端实时下发。

  • C、创建关机回调,劫持DNS和自更新

下载劫持的DNS配置信息,然后在关机回调中设置电脑的DNS,从而完成DNS的修改劫持

  • D、 创建映像加载回调,拦截其它病毒运行

在映像加载回调中,为了确保被感染的电脑能够被自己成功劫持,当检测到当前加载的是驱动程序时,还会对比签名是否为黑名单中的签名(黑名单从106.14.47.210:11054/bctlist.dat下载而来),若符合拦截规则,则直接禁止加载。

  • E、 创建注册表回调,保护自身启动

在注册表回调中,若发现有对IE代理设置和驱动服务类注册表项的操作,则直接拒绝访问,防止相关注册表项被修改。

除此之外,病毒还会循环枚举注册表回调函数的地址,若检测到被删除,则会再次注册回调函数,这么做为了防止用户利用pchunter之类的ARK工具对回调函数进行删除操作,使病毒难以被手动清除。但如果是病毒程序自身升级需要修改相关的注册表项时,则会利用开关标记来暂停对相关注册表项的保护。

  • F、 下载配置信息,实时更新劫持信息

无需与3环进程交互,完全由0环的驱动实现,而相关的配置信息,也统一从远程服务器下载。

参考

私服暗藏杀机,亡灵病毒肆虐江湖
https://www.freebuf.com/articles/system/198869.html

转载于:https://www.cnblogs.com/17bdw/p/10591513.html

传奇病毒劫持流量手法分析相关推荐

  1. 病毒木马防御与分析实战

    <病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...

  2. 警惕!国内已有5000余个网站中招!关于一种大规模的暗链劫持流量的风险提示

    近期,安恒信息中央研究院零壹实验室.回声实验室共同监测发现一种新型全局劫持的暗链植入行为,区别于传统的全局劫持,本次暗链植入手段隐蔽性极强,针对不同访问对象.不同页面设计了不同的响应方式.据不完全统计 ...

  3. 知名软件ADSafe暗藏恶意代码 从众多网站劫持流量

    一. 概述 日前,火绒安全团队发现"ADSafe净网大师"."清网卫士". "广告过滤大师"等多款知名软件暗藏恶意代码,偷偷劫持用户流量.这 ...

  4. 一个淘宝客劫持木马的分析

    一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...

  5. 劫持流量原理是什么?关于劫持流量的种类和产生

    流量圈的故事很多,劫持与反劫持的故事在很长时间内将继续演绎下去.流量是很多互联网企业赖以生存的基础,通过优秀的产品去获得用户和流量是唯一的正途,用户的信任来之不易,且行且珍惜.那么你的流量都被劫持到哪 ...

  6. 网络安全运维流量攻击分析需要掌握的核心能力有什么

    网络安全运维流量攻击分析需要掌握的核心能力 1.掌握sql注入攻击的流量特征 2.掌握XSS攻击的流量特征 掌握WebShell工具流量特征 3.掌握基于文件上传漏洞攻击的流量特征 4.掌握反序列化攻 ...

  7. 斐讯免费路由的内幕与真相:留后门劫持流量窃取用户隐私

    斐讯免费路由的内幕与真相:留后门劫持流量窃取用户隐私 所属分类:业界资讯 路由器是个人用户在互联网世界中最最底层的入口,或者说是通往用户的物理大门.在相当长一段时间内,路由器都没有得到相应的重视,到了 ...

  8. Mac恶意软件DoK变种 劫持流量并重定向至钓鱼页面 主要攻击瑞士金融机构

    瑞士Operation Emmental黑客行动背后的始作俑者,开始使用Dok Mac OS X 恶意软件 的变种来攻击瑞士银行.在 2014年7月, 趋势科技的恶意软件研究人员发表了一份关于黑客行动 ...

  9. ndpi 流量协议分析

    目录 1.nDPI介绍 2.nDPI库 3.示例 4.API nDPI 5.开发nDPI自定义协 1.nDPI介绍 nDPI是一个基于OpenDPI的DPI库,目前由ntop维护. 为了给您提供一个跨 ...

  10. 文献记录(part52)--基于度相关性的病毒传播模型及其分析

    学习笔记,仅供参考,有错必纠 关键词:互联网拓扑:度相关性:病毒传播:DPR 算法:SIS-DVDI: 基于度相关性的病毒传播模型及其分析 摘要 近年来网络病毒传播已对网络安全构成严重威胁 . 研究表 ...

最新文章

  1. 赠书 | 2021年中国数字政府发展指数排名出炉!你的家乡名列第几?
  2. epoll 版 高并发服务器
  3. Office安装源损坏
  4. sparkstreaming监听hdfs目录_大数据系列之Spark Streaming接入Kafka数据
  5. 以太网供电新标准POE+,IEEE802.3at解析
  6. LeetCode 72. 编辑距离(DP)
  7. 你愿意隐姓埋名一辈子吗?” #百年百人系列
  8. OpenCV探索之路(十):图像修复技术
  9. sublime text3创建文件时生成头部注释
  10. mencoder_有用的Mplayer / Mencoder命令
  11. Spotfire 设置 组合图表的刻度范围
  12. 微信分享至朋友圈和朋友接口
  13. c语言中结构体定义中的“冒号”
  14. 贝叶斯算法(bayesian)在GCMail反垃圾邮件系统中的应用
  15. python--spilt和strip用法
  16. 自我营销(转帖自 TI E2E 工程师社区 (Beta))
  17. 仿小米商城官网首页模板(HTML+CSS)
  18. C Primer Plus 第7章之菜鸟儿的编程题答案
  19. Windows修改MySQL用户密码
  20. 计算机系统配置有哪些内容,组装电脑主要配置有哪些丨组装电脑主要配置图解...

热门文章

  1. 必成功的Hadoop环境搭建jdk环境搭建-超详细操作
  2. 一道金蝶校园招聘试题数据库笔试题
  3. 面试题整理 | 45道CSS面试题
  4. css面试题之Flex布局
  5. VS2015正确卸载方法,亲测
  6. Linux搭建测试环境详细步骤
  7. 【精】18款在线网页SVG编辑器
  8. mysql8.0重置密码
  9. 电脑爱好者 2008年第23期(12月上) PDF
  10. 精品微信小程序班级打卡系统+后台管理系统|前后分离VUE