Kuzzle变种来袭,当心浏览器被病毒劫持!

2020-04-29 来源:金山毒霸作者:金山毒霸

一. 概述

近日毒霸安全团队通过"捕风"威胁感知系统再次监控到"Kuzzle"木马家族传播活动,该家族在2017年被国内安全厂商分析披露,主要通过SEM诱导、软件下载器等渠道伪装传播,并且善于利用数字签名盗用、内存加载、Rootkit/Bootkit等多种技术手段隐藏自身对抗安全软件,在技术框架上比较成熟,病毒云端推送的功能??槎嘤糜谥饕辰俪值榷褚庑形?/b>。


本次我们捕获的"Kuzzle"木马家族新变种以"流星速记(ShortPad)"流氓软件为母体,借助"多特下载器"家族的后门服务??榻写?,新变种除了加强对国内主流杀软的检测规避,整体技术架构没有较大幅度改动,不同的是,该家族历史传播活动大多是进入高峰期才被发现披露,本次传播活动还处于潜伏期,相关云控配置尚未激活,从我们的监控数据看,病毒团伙还在对传播渠道进行反复测试调整。


目前,金山毒霸安全中心已经针对此木马加强了清除和防御措施,可使用金山毒霸有效检出和清理该木马,并可以拦截其针对主流浏览器的恶意篡改,安装金山毒霸保持开启,以避免受到此类的病毒威胁。


二. 流程简介

 

三. ??榉治?

ShortPad_119.exe (安装包???

该安装包必须通过 "-sosos" 命令行参数并且检测机器有没有安装杀软, 才能正常启动恶意流程

 

通过Shellcode解密资源"wrc.dat", 释放"vagrant.sys"到系统drive目录

通过注册表注册驱动, 并且通过设置"SystemReserved"字段把自身驱动启动等级设置为最高, 保证驱动加载优先级高于杀软的驱动

 

之后会释放一些加密资源, 为后续流程提供加载使用


最后释放bat删除自身

 

vagrant.sys (驱动加载器)

该驱动只是个加载器, 主要负责在内存中解密, 修复主逻辑驱动"main.sys", 最后调用"main.sys"的DriverEntry达到动态加载的目的

 

该??橥ü訦ive对象的CmpFileWrite回调hook, 把自身驱动注册表项伪装成了一个USB扩展驱动用于对抗分析

 

main.sys (主逻辑驱动)

该??槲滴裰髀呒?? 主要工作是注册 "??榧釉鼗氐?, "进程创建回调", "线程创建回调",  用于劫持浏览器主页, 解密soflor??? 注入Explorer控制更新配置和下载执行新???

 

soflor.sdv.exe (更新???

该??橹饕涸鸶屡渲梦募胄履?? 在执行操作前, 会对系统中的所有进程进行遍历, 如发现"金山毒霸","电脑管家", "瑞星杀毒", "360杀毒", "360安全卫士"等杀软进程则不触发行为

 

 

而更新的方式则是通过定时联网请求, 请求更新前会读取"soflor.ncf"配置生成命令行参数, 参数中会携带一些本机??榈幕拘畔?br>

 

目前该渠道的木马处于传播期, 并未开启更新??楹团渲每? 从回复的包中可以看到"downloadurl"字段代表更新的??橛肱渲梦募? 而"mainpage"则代表需要劫持的主页地址, 而这两个字段目前在回复的包中都是为空的状态

 

而作者显然不只是想劫持浏览器主页, 为了执行更多的操作, 内置一份执行后门, 用于解密&执行云端动态下发的???

 

四. 总结

Kuzzle木马采用多种技术来伪装和隐藏自己, 为了躲避杀软和分析人员的追查, 精心设计从3环到0环再到3环的加载执行逻辑, 为了执行更多的操作, 留有云端执行后门, 威胁性可以说是非常的高, 建议大家??倍救砑? 避免遭受此类木马病毒的侵害。

IOC

MD5:

4EA531B34D8291E150252E85C4994A72

URL:

http[:]//www.dwz1953.xyz/1.dll 


? 葡京网赌大厅