近期金山毒霸安全实验室通过“捕风”威胁感知系统监控,发现一个以“流量暗刷与劫持”为主要攻击目的的老牌僵尸家族开始进入活跃期,根据其传播渠道和技术特征我们将其命名为“驱魔”病毒家族。
该家族早期被发现寄生于“花瓣壁纸”、“锁大师”等流氓软件中我们在2017年曾率先对其进行披露打击,但是“百足之虫死而不僵”,“驱魔”家族近两年频繁变换宿主外壳进行传播母体包括“云压”、“水滴精灵”、“锁大師”、“蜻蜓日历”、”桌面助手”、”护眼精灵”、“可萌壁纸”、“萌压”、“极压”、“简压”、“大象笔记”、“博士WIFI”等二十餘款流氓软件,甚至在2017年友商披露的“异鬼Bootkit”家族的核心云控模块(后期变种)中也发现过其传播身影
“驱魔”病毒家族传播渠道多样,传播周期较长从我们的监控数据分析看,其高峰时期全网感染用户预估累计超过500万一直属于境内近年活跃僵尸网络中的佼佼者。早期变種利用系统服务、系统驱动劫持等方式实现常驻隐蔽后续大多借助”流氓软件”外壳寄生实现注入系统进程,通过多层解密和内存加载釋放和傀儡进程注入来躲避安全软件查杀并且暗刷配置和暗刷插件都是云端配置,控制灵活、扩展性和兼容性好从其最新变种分析中,已发现主页劫持插件和针对天猫、斗鱼、搜狗、虎扑APP、zaker、百度糯米、秒针广告、凹凸租车、hao123导航等站点的暗刷插件超过70+支持劫持国内主流浏览器,并且可模拟PC、iOS和Android等多系统平台流量
“驱魔”病毒家族不同母体的加载利用过程大同小异,以其近期变种“可萌壁纸”为例安装后会注册启动项、服务、计划任务3个自启动点开机运行;然后创建获取一次暗刷配置;其中%d随机为1~5 ;然后解析协议,下载对应的暗刷插件注入到傀儡进程执行暗刷:
首先发送请求获取暗刷配置:
发送数据包含机器码的base64编码返回数据包含暗刷xml配置和暗刷插件ID,明文格式如下:
请求到XML配置后第二次通信发送暗刷插件ID,获取插件下载配置:
发送插件ID返回插件下载链接、文件MD5和AES密钥(AES密钥正好是加密前嘚文件MD5),明文格式如下:
插件下载后AES解密注入到傀儡进程执行暗刷,然后发送统计数据包:
注入采用经典的傀儡进程注入法并通过命名管道传递暗刷配置:
通过批量查询配置接口,获得730个暗刷配置和54个暗刷插件;从配置来看有针对bitauto、pptv、zaker、搜狐、360影视、优酷、爱奇艺、腾讯视频、2345影视、hao123影视、搜狗视频等站点的广告暗刷;从暗刷插件模块来看,有针对斗鱼、百度糯米、hao123导航、虎扑APP、miaozen广告、admaster广告、zaker、uc浏覽器、auto租车APP、搜狗、天猫等站点或APP的暗刷并可模拟iOS和Android移动平台流量特征:
由于插件数量众多,这里选取有代表性的进行分析:
版权声明:本文为博主原创文章转载请注明出处。 /u/article/details/
Go的标准包syscall提供了调用DLL所需的API本例用到的API如下(仅列出重要部分):
下面是一个完整的例子:
首先实现一个DLL,定义了兩个函数一个从Go接收参数,一个返回参数给Go:
下面是Go调用DLL的代码:
注意从C中返回的指针是由malloc动态分配的Go中不会对此指针进行引用计数,不会被垃圾回收因此会造成内存泄漏。解决方法是在DLL中提供释放资源的接口在Go中调用此接口。
注:本例中用到的低级编程知识请见:
1) 主板BIOS没电记不到硬盘信息,如果你的系统日期不正确的话很可能是这个原因。 解决办法:更换BIOS电池重新进BIOS内检测硬盘。
2)IDE线质量不好或插得不牢 解决办法:换一條IDE线或将IDE线插在主板另一个IDE槽里,连硬盘的线不要与其它IDE设备一起连接例如光驱,分开两条IDE线连正确设置主/从盘。
3)硬盘故障可能需要更换。
4)如果你的电脑每次都能检测到硬盘而不能进入系统的话把硬盘重新完全格式化,再重新装系统
5)另外设置硬盘启动试试(是不是设置错误)。
6)还有一种情况内存重新插拔一下、清一下灰也可以解决问题(有时是因为它引起的)。
7)自己解决不了建议檢修一下去。
