改主页木马的暴力输出：对抗杀软，一言不合断电重启！

原标题：改主页木马的暴力输出：对抗杀软，一言不合断电重启！一：木马概述360安全中心近期监控到一类主页篡改木马非常活跃，近一周拦截攻击量高达20万余次。该木马通过下载站诱导下载，然后静默释放改主页模块，恶意篡改主页，并在杀软查杀删除其注册表时候，会暴力重启电脑进行对抗。360安全中心将其命名为CEIDPageLock。二：木马分析木马来源主要是用户各种下载下载各种软件破解 外挂等各类工具运行而中招。该安装包运行后会提示:1:请确认是否被杀毒软件误删2:请先退出杀毒软件杀毒软件报毒安装包文件下载释放到:%UserProfile%AppDataRoamingfeitiancb0226a.exe然后该进程会下载一个改主页驱动木马:%UserProfile%AppDataLocalTempsomustc.exe该文件运行后主要是释放驱动,并上传统计信息。释放驱动:注册驱动服务:启动服务:把中毒电脑的mac地址,主机名上传统计信息驱动配置文件记录了驱动加载次数, 每次启动的时候会把这个加载次数加1,然后驱动往服务器发送统计信息. 包含了2个服务器地址统计信息包含了用户的一个mid,这个mid是用户第一次加载驱动的时候根据时间等信息生成的一个随机数,来保证尽量不重复然后把mid和用户当前系统的系统版本号发送给云端服务器然后木马继续连接服务器,从云端下载一个exe文件.把这个exe放到windowstemp目录下面。然后木马hook了explorer.exe 的ZwClose函数,注入一段恶意代码, 当下一个ZwClose到来的时候就会执行这段shellcode,执行云端下载的exe程序同时木马注册了minifilter文件过滤,主要是禁止网盾模块加载和隐藏木马自身。首先禁止了explorer.访问所有网盾模块路径的dll,这样导致网盾模块软无法正常工作。禁止下面所示的浏览器访问下面文件：当木马发现某些相关进程访问名称为"*Z_ALL.SYS"的文件时候,就尝试结束当前访问的进程,同时木马把访问的文件重定向到自身驱动tesmon.sys,这样打开的就是另一个文件, 达到偷梁换柱保护自己的目的，另外木马还禁止访问名为antiirk*.sys的文件木马为了隐藏自身驱动文件,防止被删除，然后木马每隔3秒扫描下自己的驱动服务是否被删除,如果被删除,就立即暴力重启,达到保护自己服务启动项的作用.木马同时还联网下载syscc.com/123.ini 文件, 木马解密后得到自己的主页配置信息,从而云控改主页解密算法为:最后篡改浏览器主页。三：安全提醒建议用户尽量不要下载来历不明的软件，更不要相信木马提示退出安全防护，发现木马预警提示要立即清理。360安全卫士针对主页被恶意篡改已经推出了主页修复功能，能完美解决各种主页被篡改问题。