锁主页和文件过滤驱动的 ROOTKIT 分析
ヽ( ̄▽ ̄)و
0x00 背景
文件名:usb4399.sys
MD5:07D8B0397ED64EBFB4132F0644814986
0x01 概述
该样本实际为一个文件过滤驱动的 rootkit,功能是锁浏览器主页,进行广告推广。
0x02 样本分析
样本执行流程
流程图没有画,简单总结一下:
1- 解析内置推广链接字符串
2- 释放 usb4399.sys 到系统驱动目录并加载
3- 释放指向淘宝、百度、京东三家的.url 链接文件
4- 进程回调监控浏览器进程创建,修改主页
5- 关机回调:将驱动创建注册表服务
6- 热补防护模块功能函数的入口点 7 个字节使其失效
7- 获取系统信息
8- 修改驱动文件属性隐藏自身
一、恶意推广链接
病毒的推广行为主要在 sub_5E8A 中,通过 PsSetCreateProcessNotifyRoutine 监控浏览器进
程,发现目标浏览器进程启动后执行恶意推广函数,包括驱动的释放和加载,释放推广链接
文件,修改浏览器主页等:
评论0