近日 360安全中心监控到暗云的一个新变种木马出现,相比之前版本该版本内核代码没有做太多改动,只是修改了下引导扇区的代码,防止被识别和查杀,不过简单的特征码修改后依然没有逃过我们引导区虚拟机引擎检测。目前360安全卫士已经率先查杀该木马。
木马行为分析
木马文件为:
没有版权信息也没有签名信息。
以管理员权限运行后会改写用户MBR
改写后信息为:
并且依然将MBR备份到第二个扇区:
第二次开机后,这次去掉了DPC保护,其余代码跟之前一样,比如对急救箱工具的对抗:
还会开启线程循环检测以下进程,然后直接结束进程:
最后通过插入APC向Winlogon.exe进程注入代码,网上下载恶意代码挖矿:
拼接的网址为:
创建进程为C:\Windows\Temp\conhost.exe 然后该进程又释放创建挖矿进程
命令行为:
/C ping 127.0.0.1 -n 6 & taskkill -f /im conime.exe /im ups2.exe & copy /Y "C:\Windows
\TEMP\ups2.exe" "C:\Program Files (x86)\Common Files\conime.exe" & "C:\Program Files (x86)\Common Files\conime.exe" -C
然后开始恶意挖矿。
目前360安全卫士已经率先支持拦截查杀:
建议用户尽量不要轻易下载来历不明的软件,如果发现主页异常,电脑卡慢等可疑情况请尽快使用360安全卫士查杀。
下载地址:
http://down.360safe.com/inst.exe