近期,安全大脑拦截到一款劫持流量的恶意驱动XQGuard,该木马会通过装机盘,游戏私服等多种渠道进行传播,在感染用户机器后,通过中间人劫持的方式,劫持用户的流量,从而谋求利益。在病*文件的调试路径中我们发现“技术部”等关键词,推测该病*可能是某个具有公司性质的团伙编写的。
在分析过程中我们发现,该木马会在检测到急救箱进程运行后禁用关机回调,从而自杀,基于这种特性,我们又将这一史上最怂的驱动木马称为”小强”木马。
隐藏和驻留
小强木马会通过对象劫持将恶意驱动伪装成系统网络驱动tdi.sys:
并且会检测当前运行坏境是不是VMware虚拟坏境,若是则不会执行病*逻辑:
病*会通过创建进程回调对自身做进一步的隐藏,当监控到Pchunter或Processexplorer等安全工具运行时,病*会将自身注册的注册表项删除,以免被安全分析人员发现:
当发现急救箱的SuperKiller.exe等进程运行时,会设置一个让关机回调失效的全局变量,当病*的关机回调触发之后,会先判断该全局变量是否被设置(即是否运行过急救箱),若被设置,则不会执行后续逻辑,退出关机回调,反之则会将病*的注册表和文件进行恢复,实现病*驻留。
恢复病*注册表和服务相关代码逻辑如下:
流量劫持
木马会添加一个恶意根证书,用于劫持