Purple Fox Trojan заразил более 30 000 глобальных пользователей

01 Окт. 2018 г.Elley
Подробнее о 360 Total Security

В последнее время 360 Security Center получили отзывы пользователей, выражающие, что после установки и использования определенного загрузчика, различное программное обеспечение будет установлено повторно.После анализа соответствующих файлов мы обнаружили, что это троян, использующий механизм «Операции переименования ожидающего файла» для замены системного файла и автоматического запуска драйвера (автоматической загрузки программного обеспечения) при загрузке компьютера. Мы назвали данный троян «Purple Fox». Согласно статистическим данным, по меньшей мере 30 000 пользователей подверглись нападениям.

Анализ
Давайте сначала рассмотрим весь процесс выполнения трояна:

Purple Fox Trojan bursted out and infected more than 30,000 users

После запуска загрузчика, адрес загрузки пакета установки трояна будет загружен онлайн: http://216.250.99.5/m/wpltbbrp_011up.jpg.

Файл Wpltbbrp_011up.jpg на самом деле является установочным пакетом MSI.

После запуска MSI:

Purple Fox Trojan bursted out and infected more than 30,000 users

Троянский пакет установки MSI содержит 3 файла, один файл не-PE (зашифрованный файл PE), а остальные 32-bit и 64-bit Троянские DLLs:

Purple Fox Trojan bursted out and infected more than 30,000 users

После того, как троянец установлен, он будет загружен при загркзки компьютера с помощью команды «Операции переименования ожидающего файла». Троянец выполнит несколько удалений и замен, чтобы создать несколько цепочек процессов для получения перерывов в цепочке, для того, чтобы предотвратить убийство. Системный файл Sense.dll замен файлом, который называется FakeSense.dll.

Purple Fox Trojan bursted out and infected more than 30,000 users

После запуска FakeSense.dll DLL создаст Shellcode и выполнит его. После этого он скопирует DLL-код во временную память, затем освободит DLL и запишит временную память обратно в код процесса, чтобы скрыть и удалить троянский DLL. Чтобы удалить процесс траяна FakeSense.dll, сначала DLL переименует FakeSense.dll в C: Windows AppPatchCustomS721141.tmp, а затем скопирует ранее скопированный файл C:WindowsAppPatchAcpsens.dll в C: Windowssystem32sens.dll

Purple Fox Trojan bursted out and infected more than 30,000 users

Память Shellcode выполняется:
Purple Fox Trojan bursted out and infected more than 30,000 users

Процесс удаления троянского файла выглядит следующим образом:
Сначала перемещать файл C: Windowssystem32sens.dll в C: WindowsAppPatchCustomS721141.tmp, вызовя MoveFileA

Purple Fox Trojan bursted out and infected more than 30,000 users

Затем обратно поставить исходный системный файл C: WindowsAppPatchAcpsens.dll в C: Windowssystem32sens.dll, вызовя CopyFileA

Purple Fox Trojan bursted out and infected more than 30,000 users

Удалить FakeSens.dll (C:WindowsAppPatchCustomS721141.tmp)

Purple Fox Trojan bursted out and infected more than 30,000 users

Затем расшифровать не-PE и создать запуск службы

Purple Fox Trojan bursted out and infected more than 30,000 users

Purple Fox Trojan bursted out and infected more than 30,000 users

Модуль создаст взаимное исключение, проверит, что находится ли DLL в процессе winlogon или svchost. Если он там, то модуль расшифровывает памяти DLL и файлы драйверов, создает процесс Svchost и вводит выполнение Shellcode, а затем удаленно записывает DLL и драйвер в процесс Svchost для вызова Shellcode:

Purple Fox Trojan bursted out and infected more than 30,000 users

Purple Fox Trojan bursted out and infected more than 30,000 users

Purple Fox Trojan bursted out and infected more than 30,000 users

Введенный DLL запускается для освобождения, имя создается dump_ и случайными числами для загрузки:

Purple Fox Trojan bursted out and infected more than 30,000 users

Файл драйвера:

Выполнить зарегистрирование MiniFilter и обратный вызов потока в записи драйвера:

Purple Fox Trojan bursted out and infected more than 30,000 users

Обратный вызов таймера:

Purple Fox Trojan bursted out and infected more than 30,000 users

Скрыть свои троянские файлы в MiniFilter:

Purple Fox Trojan bursted out and infected more than 30,000 users

функция 32-bit хуки NtEnumerateKey скрывает свои записи реестра:

Purple Fox Trojan bursted out and infected more than 30,000 users

Purple Fox Trojan bursted out and infected more than 30,000 users

Затем заменить NtfsFsdCreate dispatch function в Ntfs.sys:

Purple Fox Trojan bursted out and infected more than 30,000 users

Адрес после хуки :

Purple Fox Trojan bursted out and infected more than 30,000 users

STATUS_ACCESS_DENIED возвращается при доступе к защищенным файлам:

Purple Fox Trojan bursted out and infected more than 30,000 users

Purple Fox Trojan bursted out and infected more than 30,000 users

Удалить информацию о драйвере:

Purple Fox Trojan bursted out and infected more than 30,000 users

Ввести код в обратный вызов потока:

Purple Fox Trojan bursted out and infected more than 30,000 users

Отключение обратного вызова:

Purple Fox Trojan bursted out and infected more than 30,000 users

Троянский поток создан svchost.exe после инъекции:

Purple Fox Trojan bursted out and infected more than 30,000 users

После загрузки и установки различного программного обеспечения в сети было установлено четыре или пять типов программного обеспечения в машине отзыва пользователя: поведение команды установки: / c start «» «C: WindowsTEMPFastpic_u44047309_sv67_52_1.exe» / at = 591 / tid1 = 67

Напоминание
Для обеспечения безопасности и конфиденциальности компьютеров мы рекомендуем нашим пользователям, чтобы они не загружали программное обеспечение из неизвестных источников и никогда не выходили из системы защиты. Если программное обеспечение безопасности предложит «Троянский риск был обнаружен», пользователи должны немедленно очистить ПК. Хотя Purple Fox Trojan является мощным, 360 Total Security уже поддерживает убийство Purple Fox. Пользователи, которые обнаружили, что различное программное обеспечение, установленное повторно на своих компьютерах, могут загрузить 360 Total Security для борьбы с троянским вирусом.

Подробнее о 360 Total Security