360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀

小君 2022-11-12 04:30:32 907

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀该DLL入口点并无异常InstDrv.dll部分其中%appdate%\GKR2\InstDrv.dll 内存解密加载程序%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木马程序主程序启动后会自动加载导入表中的InstDrv.dll文件

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀(1)

上周五我们发布了逆鬼借下载器疯狂传播，360安全卫士独家拦截后，木马作者见此情况，于周日16号下午17点赶紧再换马甲，伪装成内网安全加固软件安装包试图逃脱360安全大脑的监控，不幸的是又被安全大脑再度秒杀

样本分析

安装包运行后，释放白利用文件到 %userprofile%\appdata\roaming\gkr2\目录下

目录结构如下:

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀(2)

其中%appdate%\GKR2\InstDrv.dll 内存解密加载程序

%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木马程序

主程序启动后会自动加载导入表中的InstDrv.dll文件

InstDrv.dll部分

该DLL入口点并无异常

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀(3)

InstDrv.dll文件在初始化的过程中进行解密木马原文

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀(4)

加的偏移地址0xF0BC 其实是GetModuleHandle

360杀毒软件实时防护老是自动关：逆鬼出师未捷身先死再次被360独家拦截查杀(5)

第一页 1 2 3 4 下一页

网站首页

返回栏目