Bamital病毒分析与查杀
  

SSEC 发表于 2017-7-26 14:33

本帖最后由 SSEC 于 2017-7-26 14:50 编辑

Bamital病毒分析与查杀
1 简述

1.1什么是Bamital病毒
Bamital病毒是一种木马病毒,受影响系统为微软Windows。Bamital通常被用来劫持正常上网流量,重定向Google、Bing和Yahoo等搜索引擎并强制跳转到广告或大量有风险的网站,以赚取广告费用或流量费用。

1.2 有哪些危害
感染Bamital的主机可能并没有很明显的破坏行为,本地磁盘文件一般也不会被恶意修改或加密。
Bamital旨在于长期利用受害者流量赚取各种广告费或网站导向费用,而其所跳转的站点通常是比较高风险的,极可能给用户安装上各种流氓软件、恶意软件,甚至是其它类型的病毒。当然,长期返回用户所不需要的上网内容,也是对用户工作效率极大的损害。
所以,建议感染Bamital的用户及时清理病毒,以杜绝主机卡、乱弹广告等等影响工作的现象或行为,减少潜在的损失。
2 中毒症状
2.1 常见感染路径
Bamital变种很多,通常感染之后,常见的释放路径如下(释放自身文件):

C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll
11161597839f832600.png
C:\Documents andSettings\Administrator\Templates\memory.tmp

1757259783a07df91c.png


2.2 添加启动项
Bamital会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Bamital感染的常见启动项:

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCertDlls

AppSecDll 对应键值:

C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll


1094359783a2174853.png


2.3 病毒进程
Bamital通常不是独立运行的进程,主要运行方式是将恶意代码或病毒模块注入到其它进程中,即它会感染其它进程,由其它进程来实现其功能。

下图展示的是Bamital的某个变种,可以看到正常浏览器进程IEXPLORE.EXE被注入了隐藏线程,该线程没有模块对应文件(红色字体所示)。

1594159783a34f3a4a.png

我们尝试使用特殊工具将该进程所有模块Dump出来,可以发现有隐藏模块(带hiddenmodule字眼为隐藏模块)。

7551359783a4b4af20.png

当然,也有一些是以病毒体dll的方式被其它进程所加载的,例如winlogon.exe这个系统进程。利用PCHunter查看winlogon.exe进程的进程模块,可以发现额外加载了病毒qnlwbc.dll,其文件厂商那一栏为空。

5680559783a6188732.png

Bamital为了劫持用户流量,往往会在IEXPLORE.EXE等系统进程中挂inline型的钩子。下图显示了某个Bamital变种对IEXPLORE.EXE所挂钩的函数对象。

928659783a77456b8.png
2.4 网络行为
Bamital病毒通常很少与远控服务器通信,其网络行为更多的还是表现在流量截取、篡改或重定向。

Bamital可能引导流量到如下站点(包括但不限于):

  1. secure-xml-delivery-service.ru
  2. ffcloudcontrol.info
  3. onefeedsystem.com
  4. yousearchthebestnow.info
  5. globalcloudbackup.com
  6. clickspot2.com
  7. 1click2us.info
  8. blogerteam.info
  9. fepurowydutopal.info
  10. click5search.info
  11. click2mix.info
  12. nanocloudcontroller.com
  13. allsearchforyou.in
  14. rootworks.co.cc
  15. clickcounter1.com
  16. r-ads.info
  17. xmlservingfeed.com
复制代码

3 如何查杀
3.1 使用杀毒软件
Bamital并不是很顽固的病毒,直接使用杀毒软件查杀即可。推荐进行全盘扫描,主要是防止Bamital给感染主机种上了其它类型的病毒。

常见的杀毒软件很多,尝试了多种杀软对Bamital的查杀效果,发现360杀毒软件对该病毒有不错的检出率,链接如下:

注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

奋斗的小破孩

本周建议达人

SSEC

本周分享达人