×

Bamital病毒分析与查杀
  

SSEC 3563

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-26 14:50 编辑

Bamital病毒分析与查杀
1 简述

1.1什么是Bamital病毒
Bamital病毒是一种木马病毒,受影响系统为微软Windows。Bamital通常被用来劫持正常上网流量,重定向Google、Bing和Yahoo等搜索引擎并强制跳转到广告或大量有风险的网站,以赚取广告费用或流量费用。

1.2 有哪些危害
感染Bamital的主机可能并没有很明显的破坏行为,本地磁盘文件一般也不会被恶意修改或加密。
Bamital旨在于长期利用受害者流量赚取各种广告费或网站导向费用,而其所跳转的站点通常是比较高风险的,极可能给用户安装上各种流氓软件、恶意软件,甚至是其它类型的病毒。当然,长期返回用户所不需要的上网内容,也是对用户工作效率极大的损害。
所以,建议感染Bamital的用户及时清理病毒,以杜绝主机卡、乱弹广告等等影响工作的现象或行为,减少潜在的损失。
2 中毒症状
2.1 常见感染路径
Bamital变种很多,通常感染之后,常见的释放路径如下(释放自身文件):

C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll
C:\Documents andSettings\Administrator\Templates\memory.tmp



2.2 添加启动项
Bamital会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Bamital感染的常见启动项:

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCertDlls

AppSecDll 对应键值:

C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll




2.3 病毒进程
Bamital通常不是独立运行的进程,主要运行方式是将恶意代码或病毒模块注入到其它进程中,即它会感染其它进程,由其它进程来实现其功能。

下图展示的是Bamital的某个变种,可以看到正常浏览器进程IEXPLORE.EXE被注入了隐藏线程,该线程没有模块对应文件(红色字体所示)。


我们尝试使用特殊工具将该进程所有模块Dump出来,可以发现有隐藏模块(带hiddenmodule字眼为隐藏模块)。


当然,也有一些是以病毒体dll的方式被其它进程所加载的,例如winlogon.exe这个系统进程。利用PCHunter查看winlogon.exe进程的进程模块,可以发现额外加载了病毒qnlwbc.dll,其文件厂商那一栏为空。


Bamital为了劫持用户流量,往往会在IEXPLORE.EXE等系统进程中挂inline型的钩子。下图显示了某个Bamital变种对IEXPLORE.EXE所挂钩的函数对象。

2.4 网络行为
Bamital病毒通常很少与远控服务器通信,其网络行为更多的还是表现在流量截取、篡改或重定向。

Bamital可能引导流量到如下站点(包括但不限于):

  1. secure-xml-delivery-service.ru
  2. ffcloudcontrol.info
  3. onefeedsystem.com
  4. yousearchthebestnow.info
  5. globalcloudbackup.com
  6. clickspot2.com
  7. 1click2us.info
  8. blogerteam.info
  9. fepurowydutopal.info
  10. click5search.info
  11. click2mix.info
  12. nanocloudcontroller.com
  13. allsearchforyou.in
  14. rootworks.co.cc
  15. clickcounter1.com
  16. r-ads.info
  17. xmlservingfeed.com
复制代码

3 如何查杀
3.1 使用杀毒软件
Bamital并不是很顽固的病毒,直接使用杀毒软件查杀即可。推荐进行全盘扫描,主要是防止Bamital给感染主机种上了其它类型的病毒。

常见的杀毒软件很多,尝试了多种杀软对Bamital的查杀效果,发现360杀毒软件对该病毒有不错的检出率,链接如下:

注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

帅帅哥 发表于 2019-1-16 08:39
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人