暗云木马感染数据免费查询地址(3)

　　三、云端模块二(jmdm.db)行为

　　概述:

　　此模块为木马云端配置的第二个模块，由云端模块一下载后传递到内核执行，已相对较为复杂的加密算法进行加密，其中文件的前0×32字节为解密key，解密后的模块数据结构如下：

　　云端模块2解密后的数据结构

　　由于此木马同时兼容32位操作系统和64位操作系统，因此这个此模块包含两个版本，内核模块会根据操作系统的类型执行相应的Shellcode，因为两套代码功能完全一致，以下仅分析x86部分。

　　该模块首先被NtSetInformationKey传入内核，由内核模块从内核Shellcode开始执行，内核Shellcode的功能有如下两个：

　　1)结束指定杀软进程，包括kxetray.exe、kxescore.exe、QQPcTray.exe，由于管家的进程有object钩子防护，因此不会被干掉。

　　2)遍历进程，如果进程名为以下之一，则将尾部的应用层Shellcode 以apc的方式插入到该进程中，插入一个进程后便退出遍历，不再插其他进程。具体进程列表如下：360tray.exe、360safe.exe、360sd.exe、360rp.exe、zhudongfangyu.exe、QQPcRtp.exe、KSafeSvc.exe、KSafeTray.exe、BaiduSdTray.exe、BaiduAnTray.exe、BadduAnSvc.exe、BaiduHips.exe、BaiduProtect.exe、wscntfy.exe、spoolsv.exe、alg.exe，以上进程名均硬编码于Shellcode中。

　　应用层Shellcode被插入指定进程后开始执行，其功能是在内存中动态加载jmdm.dll文件并跳到其入口点执行。

　　jmdm.dll的主要功能依然是下载者，其代码与Addata.dll有60%以上的相似性，可以确定为同一份源码修改而来，其具体的行为仍然依赖于云端配置，其运行后首先会从云端下载配置文件，配置文件所在的URL为：http://jm.sqc3.com/cn/jmdmpz.db，该URL硬编码在文件中。下载后解析配置文件，由配置文件来决定代码中的功能是否执行，以及具体的参数信息，能够实现的功能以及实际配置文件信息如下表所示：

　　以上行为执行完毕后，木马会等待下载的inst.exe、update.exe运行完毕后重新创建一个新的宿主进程，随后调用ExitProcess退出原始宿主进程。

　　代码细节：

　　1、调用ZwTerminateProcess结束安全软件进程kxetray.exe、kxescore.exe、QQPcTray.exe，由于管家的进程有object钩子防护，因此不会被干掉。

　　2、遍历进程，看进程是否在硬编码的进程列表中，如果是，则插入apc，找到一个进程之后跳出循环，即只向一个进程插入apc

　　3、插apc的具体代码

　　4、关闭名为\Device\qutmipc等的设备句柄，名称字符串硬编码于文件中

　　5、配置文件http://jm.sqc3.com/cn/jmdmpz.db 的URL硬编码在文件中

　　6、下载指定URL的文件到本地，加载或者运行