黑客业务

       

锁定主页，刷流量，疯狂挖掘……为什么顽固病毒家族如此猖獗？

2018年活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、插件幽灵、血狐、紫狐、隐魂、双枪、主页安全木马等家庭。这些病毒木马被归类为顽固的病毒木马，用户很难以同样普通的方式消除和清洁，简单的格式重新安装，一些病毒将再次复活。            

               一. 前言

   

   有一种病毒木马让招聘人员非常头疼，如何头痛，是流行的网民一旦招聘，同样普通的杀毒方法不干净。杀毒软件不能完成，格式化重新安装好吗？但这种病毒和普通网民格式化重新安装很快就会发现。什么样的病毒很顽固，今天让我们来盘子。    

   

   顽固病毒主要是指在行使计算机启动后较早获得执行机会并在系统底部运行的机会Bootkit病毒及Rootkit病毒。Bootkit病毒会感染磁盘MBR、VBR，执行控制权在系统指导阶段获得，具有启动早、隐藏性高的特点。Rootkit病毒在Ring0层执行，权限高，往往通过挂钩磁盘钩、注册回调等手段实现自我珍惜，具有杀软竞争激烈、变种多等特点。    

   

   2018年较为活跃的Bootkit/Rootkit 病毒家族包括暗云、独狼、插件幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等，其中下半年最活跃Rootkit病毒家族是独狼家族，只有与电脑管家披露的独狼家族有关的病毒感染事项3例如，独狼一代盗版的传播渠道GHOST从主页锁定、刷量盈利到传播盗号木马，再到强烈破坏杀毒软件功效，系统到独狼二代激活工具，可谓无恶不作。    

   

   Bootkit最活跃的病毒家族是暗云和隐魂系列，暗云不仅经常被替换C2网站，也首次发现和Mykings除了国内厂商披露的暗云变种外，僵尸网络还举行了捆绑流传。”隐匿者”也加入了采矿行列。Bootkit病毒家族的隐魂最早存在2017它的变种隐蜂每年都被披露”实现最重要的方是挖矿。    

   

   Bootkit/Rootkit病毒流传渠道可以分为四大类，主要包罗盗版Ghost系统、激活工具、游戏插件辅助和下载器、第三方流氓软件，以及通过缺陷行使弱密码爆炸等新的传播方式。值得注意的是，腾讯皇家威胁情报中心在不同时期随机选择了主要的系统下载站点270个系统下载链接下的系统举行检测，发现预埋病毒导致的系统异常的下载链接共202一、异常比例高达75%。    

   

   本文主要从Bootkit/Rootkit清点病毒活跃家庭、传播渠道、匹敌手艺、典型案例四个方面2018年病毒的主要趋势和变化。    

   

   一旦网友中了顽固难杀的病毒，同样常见的查杀方法也容易失败。建议下载电脑管家抢救盘(抢救箱)PE建立抢救U盘，用抢救U开机查杀病毒。可以在这里下载电脑管家抢救箱PE版：https://guanjia.qq.com/avast/283/index.html    

   

       

   

   
   

   

   二. 2018年活跃    B(R)ootkit病毒家族清点

   

   Bootkit/Rootkit病毒依然是C端通俗用户熏染后查杀难度较大的主要病毒类型，2018年比较活跃Bootkit/Rootkit 病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等。    

   

   典型的Bootkit/Rootkit病毒感染包括：    

   

   SQL SEVER弱口令爆破入侵，暗云，Mykings等多个病毒家族捆绑入侵流传事宜；    

   

   酷玩游戏盒伪造名公司数字签名，流传Steam盗号，独狼Rootkit木马事宜；    

   

   外挂幽灵团伙曝光了 系双枪、紫狐两大病毒家族的幕后推手；    

   

   页游微端血盟荣耀强锁主页，威胁50还有一个著名的电网站流量 等。    

   

   腾讯御见威胁情报中心Rootkit统计病毒签名信息，发现Rootkit病毒的署名信息高度集中，部门署名会被泛滥使用，其中以“上海预联软件手艺有限公司”及“双双 何”木马病毒最常用的是最严重的。    

   

       

   

   被病毒滥用签名    

   

   对2018年度主要活动Bootkit/Rootkit据统计，实现盈利的主要方式有刷流量、锁定主页、恶意推广、网络攻击、采矿等。其中，锁定主页仍然是实现的主要方式，占比高达35%，二是刷流量和软件推广，占比30%，暗云、独狼等家族的主要实现方式是锁定主页和刷量。随着挖掘黑产品的兴起，挖掘利润逐渐增加(占比10%)，如隐蜂木马、暗云新变种等Bootkit木马也转投挖矿获利。    

   

       

   

   顽固木马的主要盈利方式    

   

   三. B(R)ootkit病毒传播渠道

   

   1. 盗版Ghost系统        

   

   盗版Ghost该系统长期以来一直是病毒传播的主要载体。更重要的是，盗版预埋了病毒Ghost搜索引擎搜索引擎制造商的广告竞价排名，使流行的网民搜索Ghost”系统，“win 7”，“激活工具”当相关关键词显示在搜索前几个部门是毒药系统时，即使网民试图通过搜索引擎搜索净化版本，搜索效果仍将显示嵌入式病毒的下载链接。    

   

       

   

   带毒Ghost系统    

   

   腾讯御见威胁情报中心对各大站点的威胁Ghost检测系统发现了几个特点：    

   

   a. 这些盗版Ghost该系统的下载链接将被频繁更换，其主要目的是避免安全制造商对这些下载链接的毒品提醒；    

   

   b. 这些有毒的系统大多会使用搜索引擎广告进行推广。由于国内软件使用习惯等原因，流行网民获得这些安装系统的主要方式是在线搜索，导致刚刚需要重新安装系统的用户下载这些有风险的系统并成为受害者的受害者；    

   

   c. 提供这些Ghost系统网站基本上都是在显要位置推带毒系统下载的。
   腾讯御见威胁情报中心在不同时情报中心随机抽取各大系统下载站点进行共同对策270个系统下载链接下的系统举行检测，发现预埋病毒导致的系统异常的下载链接共202一、异常比例高达75%，系统异常是指系统异常问题，如系统预埋病毒导致主页锁定、暗刷流量、流氓推送其他软件等。    

   

   

   

   异常系统比例    

   

       

   

       

   

   部门问题下载链接和网站    

   

   盗版Ghost该系统已成为病毒传播的温床。主要原因是它背后有利益驱动。首先是盗版Ghost该系统通过广告竞价排名获得网络接待，吸引用户下载安装Ghost在系统中预装病毒，最终实现软件推广安装，强制主页等手段盈利。盈利后，继续加强推广，形成完整的闭环产业链。

   

   鉴于盗版Ghost该系统，各种激活工具已经被病毒团伙长期传播，建议网民只使用正版软件。    

   

       

   

   病毒利润链    

   

   2. 盗版激活工具、游戏插件和各种下载器    

   

   游戏插件，各种辅助工具也是病毒传播的主要载体，其目的是游戏玩家，传播这些插件辅助工具主要是主要的插件网站，包括七兄弟辅助网络（www.52wzlt.cn）、我爱辅助网（www.50fzw.com）、屠城社区等游戏辅助网站。

   

   常用于与病毒包装捆绑流传的插件辅助工具包括荒原设备解封器、单板框透视、DNF梦幻装备、帝王破解版等。2018年度披露通过外挂辅助传播Rootkit/Bootkit包括双枪木马、紫狐、外挂幽灵等病毒家族。    

   

                   

   

   流行的带毒游戏插件和辅助工具

   

   2018年，小马激活工具是用于传播病毒的最活跃的激活工具。激活工具有许多变体，与win7 激活，系统激活，office以激活的名义，各种背心流传，病毒文件往往与激活工具捆绑包装，运行后会染毒。2主要通过激活工具传播。            

   

       

   

   小马激活工具    

   

   3. 第三方流氓软件    

   

   除了上述盗版Ghost第三方流氓软件也是系统、激活工具、下载器等流通渠道Rootkit/Bootkit病毒的主要传播渠道。    

   

   第三方流氓软件的主要特点是，这些软件通常由用户自动下载和安装。它们似乎与普通软件没有什么不同。它们都有完整的安装和显示界面。然而，这些软件无意识地将病毒文件安装在用户的计算机机械上。这种传播渠道往往是隐藏的，看起来像正式的”大量网民使用商业软件。    

   

   这种传播渠道的病毒感染安装主要有两种方式。一不会立即感染病毒，而是通过云控制或软件升级下载安装病毒，另一种是病毒和软件捆绑安装。    

   

   这种传播渠道已经成为病毒传播的主要驱动力，仅在2018今年下半年，计算机管家首先披露了第三方流氓软件的传播Rootkit/Bootkit病毒包括主页保安、血盟荣耀微端、护眼秘书、酷玩游戏盒、桌面助手等软件。    

   

       

   

   护眼秘书 血联荣耀展界面    

   

   4. 流传破绽、弱口令爆破等新方式    

   

   通过弱密码爆破，破绽行使乐成后投毒。过去，这种病毒的流传和入侵更集中在B终端企业用户。但近年来，随着挖掘病毒、勒索病毒的兴起，挖掘勒索等病毒为了增加查杀难度，获得更早的执行机会，也将和解Rootkit/Bootkit这类顽固病毒捆绑流传。

   

   最典型的案例是暗云木马和Mykings僵尸网络捆绑传播，由于暗云木马在系统指导阶段之前获得了执行机会，其执行时间比操作系统早，大大增加了检查和杀戮的成本和难度。在这次传播中，首先是通过SQL SEVER弱密码爆破，爆破乐成后投放暗云木马，Mykings僵尸病毒，然后Mykings僵尸病毒会在内网自动传播各种缺陷，永恒的蓝色，Telnet爆破、FTP爆破是病毒流传者最常用的方法。    

   

       

   

   入侵流传方式    

   

       

   

   实验SQLSEVER弱密码爆破

   

       

   

   四．匹敌工艺升级清点

   

   1. 阻挡过滤    

   

   Rootkit病毒往往会注册林林总总的回调，或者hook系统相关函数，在适当的时间点获得执行机会，并在回调函数中完成相关的阻塞过滤效果。以独狼一代为例，独狼系列病毒家族可以说是病毒难度的集成器，是一种过滤驱动器，具有完善的过滤架构，包括文件过滤、网络过滤等，以下是过滤点及其工艺，影响风险。    

   

       

   

   独狼Rootkit过滤点    

   

   2. 匹敌杀软    

   

   Bootkit/Rootkit为了逃避杀软查杀，病毒有很多匹敌手段，一些常见的匹敌手段如下：    

   

       

   

   道高一英尺，魔高一英尺。杀毒软件与顽固病毒的匹配是一个连续的过程。每当病毒以新的方式逃避或绕过杀毒软件的查杀时，杀毒软件很快就会提升查杀能力，对新病毒进行查杀。如果你绝望，病毒也会发布一个大动作，就像强行重启计算机以阻止查杀过程一样。

   

   2018年，计算机管家披露的主页安全病毒使用这种强大的匹配手段来避免检查和杀戮。其主要逻辑是木马将继续检查系统启动组的注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 下的List键值默认为系统的第一个键值System Reserved，如果发现启动组的第一项不是System Reserved通过暴力重启计算机，暴力OUT指令直接写IO端口0x64实现强制重启，往64号端口写入0xFE电脑强制重启后，阻止杀毒软件查杀    

   

       

   

   暴力重启计算机    

   

   
   

   

       

   

       

   

   装备占坑    

   

   3. 自珍爱    

   

   这里提到的自我珍惜主要是指病毒经常通过一些手段珍惜自己，以增加被发现或分析的难度，以防止被用户发现或被安全研究人员彻底分析。    

   

   最常见的自我珍惜对象是病毒文件和相应的注册表。注册表的珍惜主要是通过注册cmpcallbakck回调完成，通过阻止或隐藏自己的注册表来实现自我珍惜的目的。病毒文件的珍惜也是通过底部的文件钩来实现的。此外，为了防止它被阻止ARK分析工具发现自己的模块信息往往是隐藏的。    

   

   以血狐病毒为例，通过KeServiceDescriptorTable拿到NtLoadDriver通过挪用函数地址4二次硬编码搜索函数（ba7011a4），找到MiProcessLoaderEntry通过搜索获得函数MiProcessLoaderEntry挪用地址，到达摘链隐藏模块信息ARK工具发现。

   

       

   

   隐藏模块信息    

   

   Bootkit自我珍惜主要是珍惜自己MBR或者VBR熏染代码及payload例如，暗云木马将根据磁盘类型和操作系统更换DriverStartIo、    AtapiHwStartIo、RaUnitStartIo阻止其他程序读取磁盘等函数1-3F 扇区（MBR）。当检测到读MBR返回组织正常的时间MBR诱骗，检测写作MBR时，则直接pass 该操作。    

   

   
   

   

       

   

   MBR珍爱挂钩逻辑

   

   五．典型案例    

   

   2018年下半年最活跃的Rootkit病毒家族是独狼家族，仅腾讯电脑管家就有与独狼家族相关的病毒熏染事宜3例如，独狼一代盗版的传播渠道GHOST从主页锁定、刷量盈利到传播盗号木马，再到强烈破坏杀毒软件功效，系统到独狼二代激活工具，可谓无恶不作。    

   

   Bootkit最活跃的病毒家族是暗云和隐魂系列，暗云不仅经常被替换C2网站，也首次发现和Mykings此外，国内制造商披露的暗云变种隐藏者”也加入了采矿行列。Bootkit病毒家族的隐魂最早存在2017它的变种隐蜂每年都被披露”实现最重要的方是挖矿。    

   

   1. 独狼Rootkit病毒家族    

   

   独狼一代病毒家族最早是腾讯电脑管家2018年6月披露，独狼一代的主要传播渠道是Ghost系统。腾讯御见威胁情报中心不同Ghost多个独狼系列在系统中被捕获Rootkit，包罗Jomalone系列，chanel系列，Msparser系列，Wdfflk不同的系列Ghost系统将以强大的服务名称命名(如Jomalone)启动，每个系列都有多个变种。

   

   独狼系列PDB信息都是PASS Through.pdb（过滤）是一种过滤驱动器，具有完善的过滤架构，包括文件过滤、网络过滤、过程建立过滤、注册表过滤、模块加载过滤等。这四个系列中最早出现的是2017年10月。此外，其签名信息具有很高的相关性。    

   

   参考链接:    

   

   盗版Ghost系统携带独狼Rootkit来袭，锁定浏览器主页超级20款    

   

   https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ    

   

       

   

   独狼系列泛起时间文件签名信息    

2018年度回顾：为什么采矿木马成为病毒木马黑产品的骨干？

   

   独狼二代重新拓展了传播渠道，进一步提高了各病毒模块的功效。传播渠道由单一渠道传播Ghost盗版系统的传演变成冒充系统激活工具流传。浏览器的安装主要是通过默默推广和锁定来盈利的23浏览器主页将浏览器地址栏锁定为带有推广渠道号的网站导航站，与独狼一代大不相同Rootkit驱动威胁主页，转换为内存解密Payload实现连接浏览器注入，并将静静地推送浏览器    

   

   参考链接：

   

   Rootkit病毒“独狼2冒充激活工具流传，锁定23浏览器主页    

   

   https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow                    

   

       

   

独狼系列病毒静静安装浏览器    

   

   独狼系列最新变种，会通过“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件流传盗号木马，该木马累计已熏染跨越5万台电脑。软件运行后，将首先下载并伪装成WPS下载并安装独狼病毒Rootkit病毒，最后进行营销推广，恶意推广更多软件盈利。    

   

   木马作者涉嫌伪造北京方正阿帕比工艺有限公司的相关信息，申请正式的数字签名，将下载病毒文件Steam盗号木马，由于病毒程序有正当的数字签名，导致多个杀毒软件未实时查杀，这是病毒熏染的跨越5万台电脑的主要原因。    

   

   参考链接：

   

   酷玩游戏盒伪造名公司数字签名，流传Steam盗号木马    

   

   https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

   

       

   

   独狼木马执行流程    

   

   2. 暗云木马    

   

   暗云家族是最早的计算机管家2015年度披露，18年9月海平安厂商披露暗云变种”病毒暴力破解用户数据库入侵算机的入侵，MBR执行后，将恶意代码注入系统过程（winlogon或explorer过程)，最终恶意代码将后门病毒下载到内陆，后门病毒将下载相关病毒模块，挖掘门罗币。    

   

   参考链接：

   

   "隐匿者"病毒团伙手艺升级流传病毒    

   

   https://www.huorong.cn/info/1536227902151.html

   

       

   

   暗云木马开采设置信息    

   

   2018年12月监控暗云的最新动态Mykings僵尸网络木马捆绑传播，通过MS SQL SEVER弱密码入侵用户机械乐成后，将执行远程剧本下令。远程剧本执行后，将向内陆下载多个木马文件，包括暗云熏染器Mykings僵尸网络木马，Mirai僵尸网络木马。与之前的暗云系列相比，包罗的主要转变将被迫完成包罗管家，360等待杀软过程，然后注入应用层payload主页锁定和下载执行木马病毒将根据云设置文件进行。(参考链接：[5])    

   

   弱口令爆破SQL Server服务器，暗云，Mykings、Mirai多个病毒家族一起来袭    

   

   https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

   

       

   

   暗云设置文件    

   

   3. 隐魂木马家族

   

   隐魂系列最早2017与暗云系列最大的区别是年度披露payload存储区及hook流程差异很大，暗云payload存储在3到63隐魂系列存储在磁盘末尾的扇区。

   

   隐藏系列最新变种隐蜂”实现的主要方法是挖掘，隐蜂挖掘木马R3层的框架设计复杂，整体R3模块设置文件总数多达30 ，同时引入LUA剧本引擎实现了天真的计划控制。    

   

   参考链接：

   

   隐蜂攻击:世界首例Bootkit僵尸网络级挖矿    

   

   https://www.freebuf.com/articles/network/173400.html    

   

   
   

   

   隐魂木马篡改主页分析    

   

   https://www.freebuf.com/articles/system/144792.html    

   

       

   

   隐魂木马采矿计划    

   

   4. 外挂幽灵团伙

   

   2018年10月腾讯御见披露了外挂幽灵团伙，主要通过七哥辅助网络（www.52wzlt.cn）、我爱辅助网（www.50fzw.com）双枪、紫狐等木马在很多游戏辅助工具(插件)网站上流传。    

   

   这些网站提供的许多游戏插件工具都绑定了许多恶意程序，主要包括锁定主页程序、双枪病毒家庭和紫狐木马家庭等。这两个病毒家庭影响了世界上数万台电脑。    

   

   参考链接：

   

   外挂幽灵团伙曝光了两个病毒家族的幕后推手 双枪和紫狐    

   

   https://mp.weixin.qq.com/s/EyzMIjEDO2OJWyaI-3gqOw

   

       

   

   游戏外挂捆绑的木马    

   

   紫狐是一种正常的行使系统"Pending File Rename Operations"机制更换系统文件，实现启动、自动启动、加载驱动（自动下载软件）的恶意木马。此外，木马还将进行多次删除和更换，以建立多个过程链，以实现断链，防止检查和杀戮。木马运行后，将在线下载和推广安装软件以获利。    

   

   参考链接：

   

   紫狐木马暴力袭击    

   

   http://www.360.cn/n/10386.html

   

       

   

   安装文件    

   

   双枪木马MBR及VBR的Bootkit病毒家族，2018年8月度计算机管家监控家庭新变体，多个插件网站将传播双枪木马，包括屠杀社区、七兄弟辅助网络等，这些网站提供多个游戏插件程序将捆绑安装非法软件称为快乐输入法，双枪木马下载器隐藏在输入法中。    

   

   中毒电脑的浏览器主页被锁定为39201计费号网站导航站，同时双枪木马变种也会在系统预留后门窃取用户敏感信此外，主流杀毒软件的杀毒软件的被切断，杀毒软件升级更新、病毒库下载、附加组件下载、云查杀等关键功效将被破坏。    

   

   参考链接：

   

   双枪木马专攻游戏外挂玩家，锁定主页，推开心输入法    

   

   https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

   

       

   

   双枪木马熏染过程    

   

   5. 血狐木马

   

   血狐木马通过二次包装和借用第三方渠道冒充传奇微端传播，携带正式的白色签名，签名制造商直接伪装国内著名的游戏公司，以获得渠道信托，由于合法的数字签名，容易引诱杀毒软件。    

   

   当用户在电脑上安装传奇的微端时，病毒立即释放并安装血狐Rootkit。当中毒计算机用户启动浏览器访问搜索引擎网站和电子商务网站时，浏览器URL他们都被迫推广含病毒作者ID到目前为止，中毒用户的每一次接待都会给病毒作者带来佣金收入。    

   

   参考链接：

   

   
   

   

   血狐病毒伪装传说微端    

   

   https://mp.weixin.qq.com/s/--n1w4aV0HUNVQUObPVbhg

   

       

   

   
   

   

   参考资料    

   

   盗版Ghost系统携带独狼Rootkit来袭，锁定浏览器主页超级20款    

   

   https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

   

   
   

   

   Rootkit病毒“独狼2冒充激活工具流传，锁定23浏览器主页    

   

   https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow

   

   
   

   

   酷玩游戏盒伪造名公司数字签名，流传Steam盗号木马    

   

   https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

   

   
   

   

   "隐匿者"病毒团伙手艺升级流传病毒    

   

   https://www.huorong.cn/info/1536227902151.html

   

   
   

   

   弱口令爆破SQL Server服务器，暗云，Mykings、Mirai多个病毒家族一起来袭    

   

   https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

   

   
   

   

   隐蜂攻击:世界首例Bootkit僵尸网络级挖矿    

   

   https://www.freebuf.com/articles/network/173400.html

   

   
   

   

   “隐魂”木马窜改主页剖析    

   

   https://www.freebuf.com/articles/system/144792.html

   

   
   

   

   外挂幽灵团伙曝光了两个病毒家族的幕后推手 双枪和紫狐    

   

   https://mp.weixin.qq.com/s/EyzMIjEDO2OJWyaI-3gqOw

   

   
   

   

   紫狐木马暴力袭击    

   

   http://www.360.cn/n/10386.html

   

   
   

   

   双枪木马专攻游戏外挂玩家，锁定主页，推开心输入法    

   

   https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

   

   
   

   

   血狐病毒伪装传说微端    

   

   https://mp.weixin.qq.com/s/--n1w4aV0HUNVQUObPVbhg    

   

   
   

   

   本期总结引用了多个朋友的原创资料，在此深表感谢！    

木马家族那些顽固的病毒