2018年下半年開始,360互聯網安全中心監控到一批惡性木馬下載器一直在更新傳播,初步統計,中招機器超過40萬臺。
該木馬團伙通過偽造、冒用簽名的方式試圖逃避安全軟件檢測,利用捆綁在外掛或破解軟件、偽裝激活工具中、植入盜版系統等方法進行廣泛傳播,通過釋放驅動的方式實現長期駐留受害者機器。用戶一旦中招,便會被篡改瀏覽器主頁,并被靜默安裝推廣程序或病毒木馬。由于該類木馬的隱蔽性很強,即使發現電腦異常,一般用戶也很難查清幕后真兇,因此我們將該木馬團伙命名為"幽蟲"。
自2018-10-3起至2018-11-9止,該家族樣本共計感染次數91萬,所有數據按照mac地址去重后共計41萬。如下圖所示,傳播最高峰出現在10月12日,僅這一天就該家族木馬就感染了近10萬次。
在被感染的機器中,有84%的系統為Win7系統。這一方面是因為目前市面上Win7系統使用量占比仍比較高,另一方面也是因為在Win7系統上使用激活工具的情況也相對多一些(當前的Win10系統多為新電腦預裝正版,不需要用戶自行激活)——這也就給木馬利用虛假的系統激活工具傳播留下了更大的可乘之機。
地區感染量占比Top情況如下圖所示,可以看到樣本對廣東、山東、河南、江蘇地區用戶影響較大:
本次分析的木馬母體樣本偽裝成名為"xiaoma"的系統激活工具。樣本啟動后,釋放并運行驅動加載器svchost.exe(非系統進程),驅動加載器解密自身.rc1節區內的驅動文件,同時判斷注冊表HKLM\SOFTWARE\Wow6432Node\VolmgrmntHome是否存在,若存在則退出程序不再繼續安裝。
待驅動安裝成功則請求Web服務器進行日志統計:
驅動模塊類型屬于過濾驅動,其所支持功能如下圖所示:
以X64版為例。驅動入口處首先判段機器是否已被感染,之后創建用以與應用層模塊進行通信的設備"volmgrmnt",同時創建%SystemRoot%\temp\MpCz01.tmp文件作為感染標志
通過解析內核執行體獲得ZwReadVirtualMemory、ZwWriteVirtualMemory、ZwProtectVirtualMemory三個函數,用于在注入應用層時寫shellcode使用。同時取到KdDebuggerEnabled內核調試標志,若該值為1(即,內核調試為開啟狀態),則停止后續工作。之后解密驅動文件包含的兩個不同版本的DLL模塊,該模塊最終會注入到被監控的進程中:
完成后,驅動會注冊進程創建、模塊加載回調例程:
之后創建TDI過濾設備\Device\CFPTcpFlt,該設備會掛接到上,用以監控TCP數據包,接著創建注冊表操作回調例程:
同時,該驅動支持在低版本的系統上卸載主流安全軟件的進程創建、模塊加載回調例程,至此,程序的入口函數結束:
驅動模塊注冊了Minifilter過濾器,其所有前置與后置例程均分別設置為同一個函數:
在前置操作pre_flt_580DB94解析出當前操作進程以及被操作文件,用于規則判定,其判定的邏輯大致如下:
如果被操作文件為驅動本體,則使用IoReplaceFileObjectName將文件重解析為acpi.sys文件,
最終表現出的結果為:當用戶試圖查看該驅動文件的任何信息時,系統給出的結果均為正常的系統文件acpi.sys的相關信息。
故,前置操作規則總結如下:
1. 放行——主流瀏覽器、安全軟件安裝包
2. 阻止——360安全衛士、電腦管家等關鍵模塊
3. 阻止——安全軟件急救箱關鍵模塊
4. 重解析——當前驅動文件為同路徑下acpi.sys
5. (特定情況下)禁止——瀏覽器加載安全防護模塊
6. 放行——其他
在后置操作post_flt_580F400中,除放行主流瀏覽器、安全軟件安裝包外,還針對安全軟件和explorer對\drivers*的打開進行了過濾,目的是為了阻止安全軟件的驅動加載:
最終結果為:當列表中匹配到的安全軟件或用戶試圖訪問drivers目錄下的驅動時,均無法找到任何驅動文件,導致驅動加載失敗。
后置操作規則總結如下:
1. 放行——主流瀏覽器、安全軟件安裝包
2. 對explorer以及安全軟件打開 \drivers* 目錄操作返回無文件
進程創建回調中,通過比對進程文件名的hash值判定當前進程是否攔截:
修改ntdll.dll模塊的內存屬性,之后在模塊加載回調中寫入shellcode,最后插入APC執行:
該段shellcode會加載上文提到的DLL模塊,并進行導入表重定位,最后調用模塊入口點執行,如下圖所示:
在注冊表操作回調中,過濾掉安全軟件對注冊表項包含驅動本體路徑的操作:
\DosDevices\volmgrmnt 設備通過與應用層注入的dll模塊進行通信,維護文件、進程、網絡監控列表,同時支持驅動本體文件的更新:
以上就是本驅動模塊支持的所有功能。
以32位DLL模塊為例,模塊啟動通過判斷當前進程名稱執行不同的邏輯,其功能如下圖所示:
配置文件的獲取
DLL模塊首先解析其內部配置文件,該配置文件最初由驅動加載器寫入到注冊表,再由驅動程序讀出后寫入DLL模塊的.rtext節中:
DLL模塊解析該加密數據,最終得到如下內容:
其中字段bkcurl字段即模塊的最終配置文件,通過訪問該鏈接,可以看到返回內容如下圖:
其中定義了主頁鎖定鏈接,瀏覽器劫持的進程名稱,下載者需要下載執行的文件等信息。
通過帶參數重啟方式替換瀏覽器默認主頁,實際的被劫持列表還包括上文的配置信息中所列數據。
我們接到過的同類型的用戶反饋如下:
在聯網下拉配置成功后,啟動線程將其下回%temp%/隨機.tmp/本地命名為desktop.ini,之后啟動線程處理其內部字段:
DLL模塊回連主控服務器,通過與主控服務器進行通信完成其所定義之功能, 主控服務器的IP地址獲取比較有趣,先通過解析ca.jp.ix[a-e].cose.space域名得到返回的假IP,再通過內部換算拿到實際的IP地址。
上文介紹了DLL模塊會聯網獲取到到一個配置desktop.ini,其中有一個下載鏈接為hxxp://pv.mupeng1688.com/skype.exe,該文件偽造了GLOBAL BENEFIT NETWORK COMPANY LLC的簽名,通過后臺數據查詢,可以發現在此之前,該類樣本還冒用過Beijing Founder Apabi Technology Limited的簽名,
衍生物的功能包括"網頁暗刷"以及"下載者"功能。功能如下圖所示——這是一個典型的"CPM"模式木馬。通過自身的前期鋪量,后期作為"渠道商"推送其他木馬獲取利益。通過數據分析發現其推送的類型包含盜號、下載者、刷量、rootkit等各種惡意軟件,可謂樣樣俱全。
這里以下載者功能為例進行簡單分析,其工作流程為——判斷當前工作環境,避免運行于分析環境或者沙箱中,接著與CC服務器通信獲取下載任務,之后下載執行:
目前,360無需升級即可查殺此類木馬:
通過同源分析,其中DLL的衍生物所推送的某例calc.exe使用了域名是mini00.com的統計后臺:
由于該類病毒通常以盜版系統、偽裝激活工具、捆綁外掛及破解軟件等方式感染用戶機器,我們建議用戶:
1. 請盡可能的使用正版操作系統和軟件。
2. 軟件建議從正規渠道下載,如官方網站或360軟件管家等。
3. 如果使用了激活工具或安裝了Ghost系統后出現異常狀況,可使用360急救箱進行檢查。
4. 建議安裝360安全衛士并開啟全面安全防護功能,可有效攔截此類病毒。
[URL/HOST/IP]
hxxp://www.tj678.top
www.rminicpm.com
m.yinuolm.com
hxxp://pv.mupeng1688.com
ca.jp.ix[a-e].cose.space
hxxp://www.dqzsy.com/fjr666.ini
hxxp://2345dh.ps1f.com
www.mini00.com
98.100.119.135
[MD5]
01ccb04891ef1c19a5d750e79b3e2da
59eb7f61033a4b0131e1906ad1831372c
b98b041ae51316cd0f544900ccbf76a4
1b81e2e0919989776e2316a003421f2d
31aee7df1b47a6183061d94e6479e551
df9899c792145395bbc4d5b8795d98c1
fb3fa1d078912fbdacece1685a2333d1
TMP238是宏碁最新的商務便攜本,自從旗下超極本S3、S7之后,宏碁國內超薄本的大旗事實上落到TravelMate P2系列上。TMP238是15年12月才開始發售,貌似目前還是JD首發+獨家,甚至連宏碁自己官網都還找不到TMP238的信息,但是好在已經放出了相關驅動的下載,要不后面換SSD就抓瞎了……
雖然之前因為宏碁筆記本整體較輕薄的外形和較高的性價比,給朋友推薦較多,但選擇TMP238也算是機緣巧合——手上的工作本在一次出差給大客戶做演示的前天晚上突然犧牲,還好同行領導帶了一臺蘇菲婆,才沒釀成大禍。申請新的工作本,預算在4K~6K之間。雖然偶爾玩玩DOTA2,但是為了出差方便,便攜和長續航還是第一考慮。所以選擇的考慮要素為:
1、5小時以上續航;
2、1920x1080以上分辨率;
3、盡量輕薄;
4、第五代或第六代I5以上CPU;
5、如有GT940以上獨顯更好;
6、8G以上內存或SSD。
最后兩點可以妥協,畢竟輕薄續航和性能不可兼得,而內存和SSD自己也可以添加。
選擇過程大致如下,大體類型分為三類:
1、平板或異形本:但是為了在床上、腿上都能順利完成文字工作,轉軸鍵盤是選擇的必要條件。這樣Surface為代表的一大票皮套鍵盤平板光榮犧牲,納入范圍的有兩款比較心動,一是ThinkPad的Helix,二是宏碁的Switch 12。Helix確實是心動的首選,但是國內的價格……和配置都讓人難以接受。Switch 12只有5Y10a處理器版本和128G SSD,性能上還是太過不去了,畢竟作為生產力工具,不想在上百MB的Word和Visio處理時力不從心。
2、輕薄本和超極本:這類的選擇最多。從商務角度,ThinkPad X系列是首選之一,公司同事很多也是配備該型號,不過最新的X260在JD上8K的起價,老一代的X250也是6K的起價,尤其是這個價格還是1366x768分辨率、4G內存和只有一塊電池的超級減配乞丐版……聯想這種國內賣高價補貼香港美帝的作風,實在難以讓人接受。新出的IdeaPad 700s確實讓人驚艷,5K不到的售價和碳纖維外殼看起來良心滿滿,但也就是這個碳纖維外殼,看了拆機圖片,內部之簡陋難以置信,就是一塊主板+一塊巨大電池……SONY碳纖維超薄本因為強度不夠造成主板變形各種不穩定,這個700s沒有防滾架的支撐,也難以好到哪里去。雖然剛上市問題還沒暴露,但作為工作本,還是不去冒這個風險了。DELL新款XPS13也是心水之物,超窄邊框小巧體積,可惜6K8起價略超預算。
3、帶獨顯的輕薄本:TMP248是宏碁14寸的商務本,不到5K的售價有I5-6200的CPU和GT940,性價比不錯。HP的
ENVY在14寸的型號有I5-6200CPU加上GTX950的顯卡與背光鍵盤,價格貴了1K左右,也是相當不錯的選擇。不過,都得在體積和續航上做出取舍了。
TMP238作為剛上市的宏基比筆記,沒有評測,甚至老款TMP236都沒有拆機圖片和較詳細的評測……半年前給朋友推薦購買過TMP236,對其設計較為驚艷的,也對模具有底。也拆過機,內部做工也尚可,只是沒想到Acer在國內那么小眾,要知其在歐洲市場,可是占有率第一的品牌。因此也有了做這篇TMP238深度評測的決心。
宏碁TMP238包裝箱和筆記本一樣,都很纖薄。內外雙盒嵌套的結構強度不錯。JD送貨一如既往又快又好,直接開包……
包裝內一電腦,一電源,幾張紙片,如此而已。電源適配器足夠小巧,如果能加一個USB輸出就更完美了。
B面C面全黑化,有商務本的感覺。B面屏幕的邊框還是比較感人的,C面很簡潔,一個電源按鈕,一張全尺寸鍵盤,一個按鍵隱藏的觸摸板,貼紙就一個Core I7標簽。
第一次開機,嗯,能開機,果然進入配置界面,然后……就被拆了……
現在超極本的拆機基本都是整個D面掀開的節奏……背面十二課螺絲,注意中間那顆,被貼紙貼住了。
上電吹風!吹熱后輕松揭開……下掉所有螺絲后,用兩張廢卡從邊緣慢慢翹起。注意別用蠻力,基本不會斷卡扣,無損拆機。
TMP238全國首拆內部全機照片!除了兩根內存條,和硬盤,基本沒有其他升級空間。不過也不用
TMP238拆機全照片
內存條用的現代的DDR3L 1600,其實可以直接上DDR4的,三代內存老矣,服役近十年了……
TMP238全國首拆內存照片
Intel 7265NGW AC無線網卡,速度不錯!目前大部分筆記本網卡還是不支持AC協議,802.11N協議理論速度300M bps,實際速度難以到10MB/s,家里有NAS的或者光纖50Mbps以上的能理解無線網卡速度的重要吧。
另外值得一體的是,這個網卡的藍牙也非常棒!因為藍牙和無線通常都是一個網卡公用一組天線的2.4G信號,干擾沒處理好還是比較嚴重的,尤其是臺灣的RealTek……山寨平板上,藍牙鼠標的卡頓就是因為這個原因,開藍牙甚至會直接影響無線網絡的速度,這個采用RealTek芯片的還沒有好的解決方案。
TMP238的Intel無線網卡
49.7Wh的鋰離子電池組,應該是聚合物結構,相當于普通18613電芯電池組的6芯電池電量。看來其超過5小時的續航時間主要還是得益于整機功耗的下降。
TMP238電池
升級配件包:拆了掛掉筆記本的內存和SSD,內存盡量選擇參數一致的匹配雙通道,對核顯的加成還是很明顯的。采用的升級條為鎂光的4G 8顆粒條,藍色框的是最終安裝的配件,紅色框的硬盤是采集留下的500GB東芝硬盤。話說,這個硬盤噪音確實有點大……
升級完成!有兩個細節需要注意:1、開蓋后為了確保安全,首先要把電池供電線拔掉!2、內存條的左上角有兩個標識SW2和SW3的按鈕,SW2根據底殼上的標識是用于斷電復位的按鈕。
安裝完成后沒盒蓋,按開機按鈕沒反應?才意識到,這個SW3是用于開蓋檢測的,如果沒有閉合后蓋就無法開機。這在宏基的成品臺式機上有見到這樣的設計。也就是說,宏基很可能是知道你是否開過機殼的……
Acer TMP238的外觀還是相當輕薄和商務向的。
整體厚度:從上至下為ThinkPad X200 3CM,TMP238 2CM,時睿4830TG 3CM。
右側對比圖,整體厚度:從上至下為ThinkPad X200 3CM,TMP238 2CM,時睿4830TG 3CM。
展開對比
左側接口:網卡接頭算宏碁特色么?因為邊緣較薄,所以擋片做成活動的,兼顧體積與兼容性。接口配置相比上代TMP236合理許多。現在的輕薄本接口各種省,僅有的幾個還做成MINI的……
左側接口:帶關機充電功能的USB3.0,還有現在手機上才有的Type-C。看來Type-C有一統天下之勢。
右側接口:USB 2.0x2+耳機+SD卡
SD讀卡器很蛋疼地做成了半截插入型的接口,雖然方便了拔插,但是導致機器沒法通過插SD卡進行擴容。
這里插入一張上代TMP236的接口對比,TMP236所有接口都在右側,不僅導致接口緊張,而且僅有的兩個USB接口間隔太近,容易造成互相影響。這點上新款的TMP238是有了質的改進。
找了一臺宏碁四年前的老本時睿4830TG,C面金屬喇叭條的設計非常帶感,鍵盤鍵盤還是如今的巧克力浮萍鍵盤。手感上確實與ThinkPad的經典鍵盤有差距,這也是為什么那么多人花一倍的錢買ThinkPad的原因吧。
TMP238的適配器確實小巧,從上到下依次是老款4830TG的85W適配器,ThinkPad 65W適配器,TMP238 45W適配器。可是,配送的220V線……能不能不那么粗……,另外,那個牙簽細的充電口是怎么回事?與ThinkPad的方形口和Surface、MacBook的磁吸口相比,太落后了,如果受到沖擊,很容易損壞。
作為輕薄為主的筆記本,就不對I7-6500U做過多評測了,可以看看CPU的性能天梯表。吐槽下魯大師,太娛樂了,Z8200的平板評分竟然有5K分?我I7-2620M的筆記本CPU評分才6K,臺式機E3-1230V2的評分不到8K,搞得我以為現在平板多NB了,買回來自己用專業軟件一跑才發現,多核性能差了13倍!真心娛樂大師……
購買I7也是因為在顯卡上,比I5還是有一定進步,基本能達到GT940一半的性能,這樣就算Photoshop、CAD也能兼顧下了。Intel最近幾代CPU在性能上沒有太大改進,主要是功耗的調整,尤其是低載下功耗的降低。
電池時間與負荷有關,低載8小時高負荷5小時的使用時間還是能達到的。充電時間一邊用一邊沖的話,雖然Windows提示2H左右能夠充滿,實際充電時間接近4個小時。可能是45W適配器拖慢了充電效率。
因為更換了SSD自己安裝的Win10旗艦版系統,所幸官網提供了全套驅動和電源管理軟件Acer Power Management、Acer Quick Access。前者類似手機上查看耗電量的軟件,可以關閉耗電大戶,后者是附加功能的管理軟件,目前主要提供屏幕藍光降低和USB充電控制兩個功能。
其實屏幕藍光控制鍵就是手動黃屏……等級越高,屏幕越黃……好吧,還好我能接受暖色調的屏幕,TMP238的這塊霧面屏幕顯示效果確實不錯,長時間閱讀眼睛舒適,想起海爾早先的潤睛屏了,相比色彩艷麗的鏡面屏幕,一塊舒適的屏幕對于辦公來講更加OK。
宏碁TMP238作為2016年的新款機型,總體設計上還是蠻有自身特色,1.6KG重量、2CM的厚度、6H左右續航都中規中矩,相比前代TMP236在接口配備上更加合理,屏幕顯示效果得益于1080P分辨率的IPS霧面屏,改善明顯!降低藍光算是軟件上的小創新,但實際效果值得肯定。
在5K左右價位上,I7-6500的最新一代CPU,齊全接口配置,優秀的屏幕,在商務輕薄本中還是有很突出的性價比。可惜SSD的型號價格略貴,目前自配SSD和添加內存是最好的方案。
1、鍵盤手感、鍵盤背光,鍵盤上下左右鍵與PgUP和PgDn放到一起絕對敗筆,很容易導致誤按。
2、充電接口,太細了!太不穩固!建議學習目前的磁吸結構或者聯想的USB方形一體充電接口。
3、換SSD,至少不要使用東芝的硬盤了,拆下來外接與WD和希捷相比噪音確實偏大。風扇控制還不錯。普通文檔和網頁應用時完全沒有聲音!當然,前提是換了那個東芝硬盤……
4、產品都開始賣了,官網還查不到信息確實不該……人臉識別軟件也要提供下載嘛!
1、屏幕很好!相比宏基之前用的1366x768的發白平淡的TN屏,這塊LG產的IPS屏LP133WF2在筆記本中屬于上乘之作,配合藍光控制軟件,長期使用很舒服!
2、體積、重量、配置很均衡,沒有很突出的地方,也沒有明顯弱點,加上價格,性價比還算不錯。
3、接口豐富合理,這是相比前代最大的改進。作為商務本,唯一需要的只有HDMI轉VGA的接口就可以應付差不多所有場合應用了。
4、設計美感不錯,錯落的A面與C面,指示燈就算合蓋還是能清楚閱讀,全黑化簡約的風格也是比較符合商務“旅行伙伴”的定位的。
寫完評測才發現,宏基旗下筆記本在JD開啟了新一輪滿1000-100活動,降了整整500啊……4999的價格,性價比更加突出了。看在全國首測的面子上,宏基是不是至少把差價返給我哇?!
最后的最后,你知道宏碁的“碁”字念什么嗎?讀“基”的都是木有文化的:P