本帖最后由 SSEC 于 2017-7-26 14:50 编辑
Bamital病毒分析与查杀 1 简述
1.1什么是Bamital病毒Bamital病毒是一种木马病毒,受影响系统为微软Windows。Bamital通常被用来劫持正常上网流量,重定向Google、Bing和Yahoo等搜索引擎并强制跳转到广告或大量有风险的网站,以赚取广告费用或流量费用。
1.2 有哪些危害感染Bamital的主机可能并没有很明显的破坏行为,本地磁盘文件一般也不会被恶意修改或加密。 Bamital旨在于长期利用受害者流量赚取各种广告费或网站导向费用,而其所跳转的站点通常是比较高风险的,极可能给用户安装上各种流氓软件、恶意软件,甚至是其它类型的病毒。当然,长期返回用户所不需要的上网内容,也是对用户工作效率极大的损害。 所以,建议感染Bamital的用户及时清理病毒,以杜绝主机卡、乱弹广告等等影响工作的现象或行为,减少潜在的损失。 2 中毒症状
2.1 常见感染路径Bamital变种很多,通常感染之后,常见的释放路径如下(释放自身文件):
C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll C:\Documents andSettings\Administrator\Templates\memory.tmp
2.2 添加启动项Bamital会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Bamital感染的常见启动项:
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCertDlls
AppSecDll 对应键值:
C:\Documents andSettings\Administrator\Local Settings\Application Data\Windows Server\[随机].dll
2.3 病毒进程Bamital通常不是独立运行的进程,主要运行方式是将恶意代码或病毒模块注入到其它进程中,即它会感染其它进程,由其它进程来实现其功能。
下图展示的是Bamital的某个变种,可以看到正常浏览器进程IEXPLORE.EXE被注入了隐藏线程,该线程没有模块对应文件(红色字体所示)。
我们尝试使用特殊工具将该进程所有模块Dump出来,可以发现有隐藏模块(带hiddenmodule字眼为隐藏模块)。
当然,也有一些是以病毒体dll的方式被其它进程所加载的,例如winlogon.exe这个系统进程。利用PCHunter查看winlogon.exe进程的进程模块,可以发现额外加载了病毒qnlwbc.dll,其文件厂商那一栏为空。
Bamital为了劫持用户流量,往往会在IEXPLORE.EXE等系统进程中挂inline型的钩子。下图显示了某个Bamital变种对IEXPLORE.EXE所挂钩的函数对象。
2.4 网络行为Bamital病毒通常很少与远控服务器通信,其网络行为更多的还是表现在流量截取、篡改或重定向。
Bamital可能引导流量到如下站点(包括但不限于):
- secure-xml-delivery-service.ru
- ffcloudcontrol.info
- onefeedsystem.com
- yousearchthebestnow.info
- globalcloudbackup.com
- clickspot2.com
- 1click2us.info
- blogerteam.info
- fepurowydutopal.info
- click5search.info
- click2mix.info
- nanocloudcontroller.com
- allsearchforyou.in
- rootworks.co.cc
- clickcounter1.com
- r-ads.info
- xmlservingfeed.com
3 如何查杀3.1 使用杀毒软件Bamital并不是很顽固的病毒,直接使用杀毒软件查杀即可。推荐进行全盘扫描,主要是防止Bamital给感染主机种上了其它类型的病毒。
常见的杀毒软件很多,尝试了多种杀软对Bamital的查杀效果,发现360杀毒软件对该病毒有不错的检出率,链接如下:
注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。 | 
发表于 2017-7-26 14:33
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
