急！！如何快速、干净的杀除“系统幽灵”木马病毒？_百度知道黑暗幽灵（DCM）木马详细分析 -
| 关注黑客与极客
黑暗幽灵（DCM）木马详细分析
共1605172人围观
，发现 202 个不明物体
只要插上网线或连上WIFI，无需任何操作，不一会儿电脑就被木马感染了，这可能吗？近期，腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种，该木马功能强大，行为诡异，本文将对其进行详细分析，以下是该木马的主要特点：&
1）木马功能强大，主要以信息情报收集为主，能够监控监听大量的聊天软件，收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2）木马对抗性强，能够绕过几乎全部的安全软件主动防御，重点对抗国内安全软件，能够调用安全软件自身的接口将木马加入白名单，作者投入了大量的精力逆向研究安全软件。
3）木马感染方式特别，通过网络劫持进行感染，主要劫持主流软件的自动更新程序，当这些软件联网下载更新程序时在网络上用木马替换，导致用户无感中毒。
4）木马通讯方式特别，木马将数据封装成固定包头的DNS协议包，发送到大型网站来实现数据传输，此方法可以绕过几乎全部的防火墙，但是黑客要截取这些数据，必须在数据包的必经之路上进行嗅探拦截，结合木马的感染方式，可以推测出在受害者网络链路上存在劫持。
5）木马攻击范围较小，针对性强，且持续时间长达数年，符合APT攻击的特性。
2、木马行为概述
2.1 来源与传播途径
经过对大量受感染用户的分析，我们发现该木马来源于不安全的网络，无任何系统漏洞的机器只要连接到这些网络后，在一段时间后会感染木马，经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时，更新包被替换成木马，导致电脑被入侵。木马传播示意图如图1所示。
图1. 木马主要传播途径示意图
2.2 木马安装流程
木马运行后会判断本机安装的安全软件，会检测多达43款安全相关软件，当检测到不同的安全软件后，执行不同的安装方式，以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式，木马最终安装启动的方式为将核心dll释放到explorer同目录下，对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式，经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。
图2. 木马安装流程示意图
2.3 木马功能分解
该木马主要功能是窃取计算机各种信息，通过插件监控监听各种常用聊天软件的语音文字聊天信息，接受指令进行简单的远程操控，将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。
图3. 木马功能一览
2.4 木马网络通信
该木马的网络通信方式与木马的传播方式相呼应，木马将收集到的各种信息打包成文件，随后将其加密并封装成DNS请求包，并将这些数据包发送到国内几大知名网站服务器。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测产品，然而黑客如何取得这些数据包从而获得窃取的数据呢？经分析发现其封装的DNS数据包都有着相同且固定的数据包头，因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器，从而获得收集到的信息，如图4所示为推测出的木马通讯数据包投递流程。
图4.木马网络通讯方式推测
3、木马详细分析
3.1、安装释放
3.1.1母体结构
该木马的母体程序为一个exe可执行文件，通过网络劫持正常软件的更新程序而被下载执行，该文件中包含5个资源文件，均为简单加密的PE文件，其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件，151为白加黑白文件，以下将详细分析。
图5. 母体资源信息
3.1.2 适应多种系统，不同系统不同行为
判断操作系统版本，设置全局变量，随后将根据该全局变了进行大量的不同操作。
图6. 判断操作系统版本并设置标志
3.1.3 利用系统漏洞提权
判断当前系统是否为vista、win7等，如果是则检测当前进程是否具有管理员权限，如果没有该木马会尝试通过CVE-将自身提升为管理员权限。该漏洞影响xp、vista、win7等多种版本操作系统。
3.1.4 对explorer进行dll劫持
通过注册表检测本机安装的安全软件，当目标系统没有安装安全软件时，木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动，在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll，在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作，此为第一种安装方式。
图8. 木马通过释放dll到explorer同目录进行劫持启动
3.2、对抗安全软件
3.2.1 暂存核心文件
如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时，木马会将核心dll释放到%CommonProgramfiles%的一个子目录下，暂时存放。
图9. 暂时存放核心dll
3.2.2 释放dll并安装lsp
同时释放lsp劫持dll，并添加lsp，通过lsp，该dll可以注入到所有具有网络连接的进程中。在注入的进程中进行dll文件的移动，从而绕过安全软件，此为第二种安装方式。
图10. 释放lsp劫持dll
图11. 安装lsp
3.2.3 释放白加黑对抗杀软
当存在国内主流安全软件时，木马为了绕过针对lsp安装的拦截使用了白加黑技术。
图12. 木马释放白加黑两个文件，准备绕过主防
3.2.4 通过白加黑安装lsp过主防
木马通过白加黑技术，并加以一系列复杂技巧绕过主动防御实现安装lsp，经测试大部分安全软件的主动防御均被绕过。
图13. 通过白加黑绕过主防安装lsp
3.2.5 绕过杀软对explorer进行dll劫持
安装lsp后，相关dll便以lsp劫持的方式插入到所有联网进程中，包括svchost、浏览器、聊天软件、安全软件等。Dll加载后首先判断当前进程，符合条件则将之前备份的核心dll移动到%windir%目录进行劫持（重启后移动）。此为第三种安装方式。
图14. 将核心dll移动到%windir%目录进行劫持
3.2.6 加载核心dll
随后木马判断自身是否位于ie、svchost、杀软等进程，以进行不同的行为，同时尝试直接加载核心dll（如果没加载，劫持需要等系统重启后核心dll才会被加载）。
图15. 根据当前进程名决定是否立即加载核心dll
3.2.7 恶意操作杀软白名单，免杀
木马判断自身是否位于各种安全软件进程中，如果是则调用安全软件自身接口进行白名单添加，会将所有木马文件路径添加到杀软白名单中。经测试，涉及到的安全软件均能正常添加白名单。
图16. 某安全软件白名单添加相关代码
3.2.8 lsp阻止安全软件联网，阻断云查
通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤，当判断发包者是安全软件进程则直接关闭连接，阻止联网，阻断云查。
图17. 阻止安全软件联网云查
3.3、信息收集
3.3.1 收集网卡信息
收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。
图18. 通过发送arp包获取网关mac地址
3.3.2 收集系统安装的软件列表
木马通过注册表Uninstall获取计算机安装的软件列表信息，将获取的信息异或0×87后写入到C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-E88F02}\soft.prog文件中，以下获取的信息无特殊说明都位于该目录下。
图19. 获取安装软件列表
3.3.3 截屏
获取当前屏幕快照，zip压缩后保存为time().v文件。
图20. 获取屏幕快照
3.3.4 收集磁盘文件目录
获取磁盘驱动器信息，包括全盘所有文件路径，获取后zip压缩到drive.d文件中。
图21.获取磁盘文件信息
3.3.5 收集IE历史记录
通过com获取浏览器历史记录信息，存储到ie.his
图22. 获取浏览器访问记录
3.3.6 收集设备信息
遍历系统设备，判断是否有笔记本电源适配器、摄像头、麦克风三种设备，将结果加密写入到time().hd文件中。
图23. 遍历系统设备
图24. 判断是否有指定设备
3.3.7 针对浏览器进行键盘记录
安装WH_GETMESSAGE全局钩子，安装后理论上所有具有消息循环的进程均会加载此dll，并调用钩子函数，在钩子回调中，判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程，如果是则进行键盘记录，记录的包括按键信息、窗口标题，通过imm32.dll该方法还可以记录中文输入，记录到的信息存为（日期+时间）.k文件。
图25. 安装钩子
图26. 只记录指定浏览器进程的键盘输入
3.3.8 收集gmail信息
在记录键盘时，当判断以上浏览器窗口中含有Gmail字符时，会启动一个线程专门收集Gmail信息，会加载相关插件，尝试通过Imap协议下载服务器上的所有文件。
图27. 判断是否正在登录gmail
图28. 通过插件尝试通过IMAP协议收集数据
3.3.9 加载插件收集各种IM相关信息
通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件，加载相关插件对此类聊天软件进行监听监控。
图29. 根据im软件进程名加载相关插件
图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息
图31. 木马针对所有常见通讯软件均做了监控
3.4、网络通讯
3.4.1通讯协议
此木马最诡异的地方是通讯方式，该木马没有C&C服务器，所有的数据均伪装成DNS包发送到、、域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包，必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
图32. 木马的数据包均发送到等服务器上
图33. 木马使用udp协议通讯，目标端口为53或者8000
图34. 木马伪装成DNS协议数据包，每个包都有固定的包头作为标记
图35.嵌入到DNS协议中的木马数据，即使专业的网络管理员，也难发现异常
3.4.2 自动上传收集到的文件
所有木马自动收集的文件，木马插件生成的文件都会被定时打包编号并发送出去。
图36. 定时读取相关文件，打包编号发送出去，发送成功后会删除相关文件
3.4.3 远程控制
木马还会绑定本地一个udp端口，并不断尝试收取指令，进行远程控制，主要的远程控制功能包括cmdshell、文件管理、插件管理等。
图37.绑定本地一个udp端口
图38. 不断尝试收取控制指令
图39. 远控功能
4、木马信息
4.1安全软件
　　木马检测到多达43款安全软件，涵盖了国内全部的安全产品及国外较有名的安全产品，从安全软件来看，该木马主要针对国内用户。
图40. 木马检测的安全软件列表
4.2 其它信息
从木马的互斥体、调试信息等可看出DCM应该是该木马的代号，但是什么的缩写的？这个还真猜不出来。
图41. 木马中的字符串信息
5、安全建议
软件厂商：下载更新程序尽量使用https等安全加密的通讯协议，对下载回来的文件在加载运行前一定要做签名校验。
用户：尽量不要使用安全性未知的网络上网，如公共WIFI、酒店网络等，如果怀疑自己的网络有问题，及时与运营商反映。此外安装安全软件可在一定程度上防御此类攻击，目前管家已率先查杀该木马及其变种。
*投稿：腾讯安全管家（企业账号），转载请注明来自FreeBuf黑客与极客（）
42篇文章等级：6级
腾讯电脑管家官方账号
【评论中包含敏感言论，已被隐藏】
有该家族的其他样本吗？方便的话可否打包？
都能够保证能够在关键节点捕获（劫持）到数据了 还能怎么说
没，实际环境中，直接连上运营商的网络，劫持问题依旧。。。so。。问题出在哪个位置很曰sfabsd,.....
D国的木马都敢拆，是不是不想混了。
必须您当前尚未登录。
必须（保密）
腾讯电脑管家官方账号
分享每日精选文章如何避免被黑暗幽灵（DCM）木马感染？
对于该木马的目标人士来说，应该如何做才能防止被感染？
不连网联网全局代理走ssl之类加密的代理(自己的vps)
换成Linux系统……
我的观点：1.购买硬件的时候，买海淘，不要国行2.使用linux，不要用win，win安全性太差了3.使用加密dns协议，dns查询全部走加密，对dns服务器校验4.正确解析vps的ip后，全局通讯走vps5.删除CNNIC证书，不信任其签名网站，不安装浏览器插件6.系统使用低权限账号7.谨慎对待下载的文件，对于可执行文件，一定要校验8.桌面级用户可以考虑选用国外杀软，国内一个电话你懂得9.在本地和VPS都过滤不正常的DNS协议，只允许向外访问特定的DNS服务器(本地就是加密DNS的监听端口，VPS就是正常DNS服务器)，其余一律拦截，这样即使本地中了，也能保证在中的情况下安全通信。本地过滤主要考虑非全局走VPS的情况，比如ss，VPS过滤考虑用AC来全局的情况，保证带有隐私信息的包，境内加密发不可见，境外发不出，也就不存在世界互联网公网嗅探以及DNS包重过国际出口回国内被中途镜像的情况这些建议是正常使用电脑不用被棱镜门，至于什么虚拟机、影子网络不谈。另外mac应该并不安全我觉得全球应该重新制定互联网基础协议，让他们更加安全，现在很多协议并不安全，在它的基础上再进行封装，成本高。再者全球应该成立一个非赢利性机构，做一个类似于苹果商店那样的封闭式全球程序商店，用户可去机构下载软件。如果我能在联合国上提议案，我就这么提，但，这不现实，毕竟理想。
已有帐号？
无法登录？
社交帐号登录只要插上网线或连上，无需任何操作，不一会儿就被木马感染了，这可能吗？近期，腾讯反病毒拦截到一个“黑暗幽灵”木马的新变种，该木马功能强大，行为诡异，本文将对其进行详细分析，以下是该木马的主要特点：&
1）木马功能强大，主要以信息情报收集为主，能够监控监听大量的聊天，收集访问记录、监控Gmail、截取屏幕、监控麦克风和等。
2）木马对抗性强，能够绕过几乎全部的软件主动防御，重点对抗国内安全软件，能够调用安全软件自身的将木马加入白名单，作者投入了大量的精力逆向研究安全软件。
3）木马感染方式特别，通过网络劫持进行感染，主要劫持主流软件的自动更新，当这些软件联网下载更新程序时在网络上用木马替换，导致用户无感中毒。
4）木马通讯方式特别，木马将数据封装成固定包头的DNS协议包，发送到大型来实现数据传输，此方法可以绕过几乎全部的，但是黑客要截取这些数据，必须在数据包的必经之路上进行嗅探拦截，结合木马的感染方式，可以推测出在受害者网络链路上存在劫持。
5）木马攻击范围较小，针对性强，且持续时间长达数年，符合APT攻击的特性。
2、木马行为概述
2.1 来源与传播途径
经过对大量受感染用户的分析，我们发现该木马来源于不安全的网络，无任何系统漏洞的机器只要连接到这些网络后，在一段时间后会感染木马，经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时，更新包被替换成木马，导致电脑被入侵。木马传播示意图如图1所示。
图1. 木马主要传播途径示意图
2.2 木马安装流程
木马运行后会判断本机安装的安全软件，会检测多达43款安全相关软件，当检测到不同的安全软件后，执行不同的安装方式，以实现绕过安全软件的检测和拦截。经分析发现该木马主要有三种不同的安装方式，木马最终安装启动的方式为将核心dll释放到explorer同目录下，对其进行dll劫持启动。如图2中三种颜色分别代表三种不同的安装方式，经测试该木马能够绕过当前绝大部分安全软件的防御和拦截最终成功安装。
图2. 木马安装流程示意图
2.3 木马功能分解
该木马主要功能是窃取各种信息，通过插件监控监听各种常用聊天软件的语音文字聊天信息，接受指令进行简单的远程操控，将自动化收集到的各种信息文件打包发送。如图3所示为木马功能一览。
图3. 木马功能一览
2.4 木马网络通信
该木马的网络通信方式与木马的传播方式相呼应，木马将收集到的各种信息打包成文件，随后将其加密并封装成DNS请求包，并将这些数据包发送到国内几大知名网站。这样的通讯方式可以绕过几乎所有的防火墙、入侵检测，然而黑客如何取得这些数据包从而获得窃取的数据呢？经分析发现其封装的DNS数据包都有着相同且固定的数据包头，因此我们推测黑客会在数据包必经之路上对数据包进行拦截转发到黑客服务器，从而获得收集到的信息，如图4所示为推测出的木马通讯数据包投递流程。
图4.木马网络通讯方式推测
3、木马详细分析
3.1、安装释放
3.1.1母体结构
该木马的母体程序为一个exe可，通过网络劫持正常软件的更新程序而被下载执行，该文件中包含5个资，均为简单加密的PE文件，其中141为x86版核心dll、142为lsp劫持dll、146为x64版核心dll、150为白加黑黑文件，151为白加黑白文件，以下将详细分析。
图5. 母体资源信息
3.1.2 适应多种系统，不同系统不同行为
判断版本，设置全局变量，随后将根据该全局变了进行大量的不同操作。
图6. 判断操作系统版本并设置标志
3.1.3 利用系统漏洞提权
判断当前系统是否为vista、win7、win8等，如果是则检测当前进程是否具有权限，如果没有该木马会尝试通过CVE-将自身提升为管理员权限。该漏洞影响win7、win8等多种版本操作系统。
图7. 木马利用CVE-漏洞提权
3.1.4 对explorer进行dll劫持
通过注册表检测本机安装的安全软件，当目标系统没有安装安全软件时，木马将根据操作系统释放劫持dll到%windir%目录下对explorer进行劫持启动，在xp等系统下木马释放ntshrui.dll、在win7等系统释放msls32.dll，在win8等系统释放AduioSes.dll。随后启动一个新的explorer进程加载核心dll开始工作，此为第一种安装方式。
图8. 木马通过释放dll到explorer同目录进行劫持启动
3.2、对抗安全软件
3.2.1 暂存核心文件
如果检测到趋势等国际安全软件而又未检测到国内主流安全软件时，木马会将核心dll释放到%CommonProgramfiles%的一个子目录下，暂时存放。
图9. 暂时存放核心dll
3.2.2 释放dll并安装lsp
同时释放lsp劫持dll，并添加lsp，通过lsp，该dll可以注入到所有具有的进程中。在注入的进程中进行dll文件的移动，从而绕过安全软件，此为第二种安装方式。
图10. 释放lsp劫持dll
图11. 安装lsp
3.2.3 释放白加黑对抗杀软
当存在国内主流安全软件时，木马为了绕过针对lsp安装的拦截使用了白加黑。
图12. 木马释放白加黑两个文件，准备绕过主防
3.2.4 通过白加黑安装lsp过主防
木马通过白加黑技术，并加以一系列复杂绕过主动防御实现安装lsp，经测试大部分安全软件的主动防御均被绕过。
图13. 通过白加黑绕过主防安装lsp
3.2.5 绕过杀软对explorer进行dll劫持
安装lsp后，相关dll便以lsp劫持的方式插入到所有联网进程中，包括svchost、、聊天软件、安全软件等。Dll加载后首先判断当前进程，符合条件则将之前备份的核心dll移动到%windir%目录进行劫持（重启后移动）。此为第三种安装方式。
图14. 将核心dll移动到%windir%目录进行劫持
3.2.6 加载核心dll
随后木马判断自身是否位于ie、svchost、杀软等进程，以进行不同的行为，同时尝试直接加载核心dll（如果没加载，劫持需要等系统重启后核心dll才会被加载）。
图15. 根据当前进程名决定是否立即加载核心dll
3.2.7 恶意操作杀软白名单，免杀
木马判断自身是否位于各种安全软件进程中，如果是则调用安全软件自身接口进行白名单添加，会将所有木马文件路径添加到杀软白名单中。经测试，涉及到的安全软件均能正常添加白名单。
图16. 某安全软件白名单添加相关代码
3.2.8 lsp阻止安全软件联网，阻断云查
通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤，当判断发包者是安全软件进程则直接关闭连接，阻止联网，阻断云查。
图17. 阻止安全软件联网云查
3.3、信息收集
3.3.1 收集网卡信息
收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等。
图18. 通过发送arp包获取网关mac地址
3.3.2 收集系统安装的软件列表
木马通过注册表Uninstall获取计算机安装的软件列表信息，将获取的信息异或0×87后写入到C:\\Temp\{E53B9A13-F4C6-4d78-E88F02}\soft.prog文件中，以下获取的信息无特殊说明都位于该目录下。
图19. 获取安装软件列表
3.3.3 截屏
获取当前屏幕快照，zip压缩后保存为time().v文件。
图20. 获取屏幕快照
3.3.4 收集磁盘文件目录
获取磁盘驱动器信息，包括全盘所有文件路径，获取后zip压缩到drive.d文件中。
图21.获取磁盘文件信息
3.3.5 收集IE记录
通过com获取浏览器历史记录信息，到ie.his
图22. 获取浏览器访问记录
3.3.6 收集设备信息
遍历系统设备，判断是否有电源适配器、摄像头、麦克风三种设备，将结果加密写入到time().hd文件中。
图23. 遍历系统设备
图24. 判断是否有指定设备
3.3.7 针对浏览器进行记录
安装WH_GET全局钩子，安装后理论上所有具有消息循环的进程均会加载此dll，并调用钩子函数，在钩子回调中，判断当前进程是否是Iexplorer.exe、360se.exe、SogouExplorer.exe三种浏览器进程，如果是则进行键盘记录，记录的包括按键信息、窗口标题，通过imm32.dll该方法还可以记录中文输入，记录到的信息存为（日期+时间）.k文件。
图25. 安装钩子
图26. 只记录指定浏览器进程的键盘输入
3.3.8 收集gmail信息
在记录键盘时，当判断以上浏览器窗口中含有Gmail字符时，会启动一个线程专门收集Gmail信息，会加载相关插件，尝试通过Imap协议下载服务器上的所有文件。
图27. 判断是否正在登录gmail
图28. 通过插件尝试通过IMAP协议收集数据
3.3.9 加载插件收集各种IM相关信息
通过进程名判断skype.exe、cc.exe、raidcall.exe、yy.exe、aliim.exe等即时聊天、语音聊天软件，加载相关插件对此类聊天软件进行监听监控。
图29. 根据im软件进程名加载相关插件
图30. 通过插件的接口可猜测相关插件主要用于监控聊天信息
图31. 木马针对所有常见通讯软件均做了监控
3.4、网络通讯
3.4.1通讯协议
此木马最诡异的地方是通讯方式，该木马没有C&C服务器，所有的数据均伪装成DNS包发送到、、域名所在服务器的53端口或者8000端口。黑客要想获取这些数据包，必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
图32. 木马的数据包均发送到等服务器上
图33. 木马使用udp协议通讯，目标端口为53或者8000
图34. 木马伪装成DNS协议数据包，每个包都有固定的包头作为标记
图35.嵌入到DNS协议中的木马数据，即使专业的网络管理员，也难发现异常
3.4.2 自动上传收集到的文件
所有木马自动收集的文件，木马插件生成的文件都会被定时打包编号并发送出去。
图36. 定时读取相关文件，打包编号发送出去，发送成功后会删除相关文件
3.4.3 远程控制
木马还会绑定本地一个udp端口，并不断尝试收取指令，进行远程控制，主要的远程控制功能包括cmdshell、文件管理、插件管理等。
图37.绑定本地一个udp端口
图38. 不断尝试收取控制指令
图39. 远控功能
4、木马信息
4.1安全软件
　　木马检测到多达43款安全软件，涵盖了国内全部的安全产品及国外较有名的安全产品，从安全软件来看，该木马主要针对国内用户。
图40. 木马检测的安全软件列表
4.2 其它信息
从木马的互斥体、调试信息等可看出DCM应该是该木马的代号，但是什么的缩写的？这个还真猜不出来。
图41. 木马中的信息
5、安全建议
软件厂商：下载更新程序尽量使用https等安全加密的通讯协议，对下载回来的文件在加载运行前一定要做签名校验。
用户：尽量不要使用未知的网络上网，如公共WIFI、酒店网络等，如果怀疑自己的网络有问题，及时与反映。此外安装安全软件可在一定程度上防御此类攻击，目前管家已率先查杀该木马及其变种。
*投稿：腾讯安全管家（企业账号），转载请注明来自FreeBuf黑客与极客黑暗幽灵（DCM）木马详细分析
图15. 根据当前进程名决定是否立即加载核心dll
2.2.7 恶意操作杀软白名单，
木马判断自身是否位于各种安全软件进程中，如果是则调用安全软件自身接口进行白名单添加，会将所有木马文件路劲添加到杀软白名单中。经测试，涉及到的安全软件均能正常添加白名单。
图16. 某安全软件白名单添加相关代码
2.2.8 lsp阻止安全软件联网，阻断云查
通过lsp过滤函数对WSPSend、WSPSendTo函数进行过滤，当判断发包者是安全软件进程则直接关闭连接，阻止联网，阻断云查
图17. 阻止安全软件联网云查
2.3 信息收集
2.3.1 收集网卡信息
收集的网卡信息包括网卡型号、网卡mac、网关ip、网关mac等
图18. 通过发送arp包获取网关mac地址
2.3.2 收集系统安装的软件列表
木马通过注册表Uninstall获取计算机安装的软件列表信息，将获取的信息异或0x87后写入到C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-E88F02}\soft.prog文件中，以下获取的信息无特殊说明都位于该目录下
&&&&&&[5]&&&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】}