技術點

通過TDI過濾、DNS劫持、HTTP(s)註入、HOSTS重定向等技術手法篡改用戶系統網絡數據包，將正常網頁訪問劫持引流至指定私服網站，並利用安全軟件雲查殺數據包屏蔽、關機回調重寫等手段實現對抗查殺。

技術細節

• A、註冊TDI回調函數，過濾收發包

病毒驅動加載後，對TDI_SEND和TDI_SET_EVENT_HANDLER進行了處理，前者主要是負責網絡數據的發包，後者則是負責對接收到網絡數據進行處理，對這兩個地方進行過濾處理之後，帶來的效果就是訪問A域名，實際打開的卻是B網站。

在TDI_SEND中，通過檢測360與其雲端的通訊時的關鍵字段“x-360-ver:”，中斷雲查詢，從而造成雲查殺的失效。在TDI_SET_EVENT_HANDLER中，收到符合規則的請求響應數據後，病毒直接修改數據包，嵌入相應的HTML框架代碼進行劫持

• B、設置IE代理，劫持HTTP訪問

設置IE代理的目的，猜測是為了在病毒驅動被殺軟清理後，依舊能夠長期劫持網站訪問所用。IE的代理配置信息由雲端實時下發。

• C、創建關機回調，劫持DNS和自更新

下載劫持的DNS配置信息，然後在關機回調中設置電腦的DNS，從而完成DNS的修改劫持

• D、 創建映像加載回調，攔截其它病毒運行

在映像加載回調中，為了確保被感染的電腦能夠被自己成功劫持，當檢測到當前加載的是驅動程序時，還會對比簽名是否為黑名單中的簽名（黑名單從106.14.47.210:11054/bctlist.dat下載而來），若符合攔截規則，則直接禁止加載。

• E、 創建註冊表回調，保護自身啟動

在註冊表回調中，若發現有對IE代理設置和驅動服務類註冊表項的操作，則直接拒絕訪問，防止相關註冊表項被修改。

除此之外，病毒還會循環枚舉註冊表回調函數的地址，若檢測到被刪除，則會再次註冊回調函數，這麽做為了防止用戶利用pchunter之類的ARK工具對回調函數進行刪除操作，使病毒難以被手動清除。但如果是病毒程序自身升級需要修改相關的註冊表項時，則會利用開關標記來暫停對相關註冊表項的保護。

• F、 下載配置信息，實時更新劫持信息

無需與3環進程交互，完全由0環的驅動實現，而相關的配置信息，也統一從遠程服務器下載。

參考

私服暗藏殺機，亡靈病毒肆虐江湖
https://www.freebuf.com/articles/system/198869.html

傳奇病毒劫持流量手法分析