4199专杀工具

4199简介:

1.自动保护

a.Boot Extender加载，使用原生ZwXXXXKey函数操作注册表，检测自己的服务项是否被删除，如果被删除，则暴力重写回去

b.使用FSD HOOK,保护自己的驱动文件和DLL不被删除

2.隐藏启动

驱动检测到系统启动后即向RunOnce启动项写一个启动项，然后该项目就会被删除，其DLL就无痕迹地加载了，使用任何软件无法检测出其DLL的启动项

3.域名劫持

使用了特殊的手段，通过ZwCreateFile的hook，以及FSD HOOK,当检测到以下进程读取hosts表时，将它们的读写定位到自己的一个hosts文件:

theworld.exe( 世界之窗浏览器)

svchost.exe

services.exe (以上两个是系统的服务以及域名解析进程，可以影响其他的大部分网络访问)

theworldxp.exe (世界之窗浏览器xp)

maxthon.exe (傲游浏览器)

max.exe (同上)

ttraveler.exe (腾讯浏览器)

myie.exe (MyIE浏览器)

greenbrowser.exe (绿色浏览器)

firefox.exe (火狐浏览器)

被修改hosts文件的内容为:

61.141.31.11 www.kzdh.com

61.141.31.11 www.7255.com

61.141.31.11 www.7322.com

61.141.31.11 www.7939.com

61.141.31.11 www.piaoxue.com

61.141.31.11 www.feixu.net

61.141.31.11 www.6781.com

61.141.31.11 www.7b.com.cn

61.141.31.11 www.918188.com

61.141.31.11 hao.allxue.com

61.141.31.11 good.allxue.com

61.141.31.11 baby.allxue.com

61.141.31.11 www.allxue.com

61.141.31.11 about.lank.la

61.141.31.11 www.x114x.com

61.141.31.11 www.37ss.com

61.141.31.11 www.7k.cc

61.141.31.11 www.73ss.com

61.141.31.11 www.hao123.com

61.141.31.11 www.81915.com

61.141.31.11 www.9991.com

61.141.31.11 www.my123.com

61.141.31.11 www.haokan123.com

61.141.31.11 www.5566.net

61.141.31.11 www.gjj.cc

61.141.31.11 www.2345.com

61.141.31.11 www.123wa.com

61.141.31.11 www.ku886.com

61.141.31.11 www.5icrack.com

61.141.31.11 www.jjol.cn

61.141.31.11 www.xinhai168.com

61.141.31.11 ooooos.com

61.141.31.11 www.ooooos.com

61.141.31.11 www.8757.com

61.141.31.11 4199.5009.com

61.141.31.11 www.13886.cn

61.141.31.11 www.8757.com

61.141.31.11 www.baidu345.com

61.141.31.11 www.dedewang.com

61.141.31.11 allxun.5009.cn

61.141.31.11 4199.5009.cn

61.141.31.11 yahoo.5009.cn

61.141.31.11 tom.5009.cn

61.141.31.11 zh130.5009.cn

61.141.31.11 piaoxue.5009.cn

61.141.31.11 3448.5009.cn

61.141.31.11 ttmp3.5009.cn

61.141.31.11 fx120.5009.cn

61.141.31.11 7939.5009.cn

61.141.31.11 99488.5009.cn

61.141.31.11 7333.5009.cn

61.141.31.11 www.ld123.com

61.141.31.11 www.anyiba.com

61.141.31.11 www.999991.cn

61.141.31.11 www.hao123.cn

以上的55个网站将全部被重定向到61.141.31.11，页面和hao123完全一样，但并不是HAO123的，据查IP地址是4199.com的,之前也被其利用来屏蔽其它网址

这个hosts表修改手段无法被目前任何相关检查软件检查到

下面是驱动部分技术分析:

autoprt.sys version 1-30

1.Boot加载，在load时就取到ZwOpenKey,ZwSetValueKey,ZwClose的地址

等到SystemRoot初始化完毕后再通过分析nt kernel获取ZwOpenKey,ZwSetValueKey,ZwClose的地址，总之确保SystemThread2用来写注册表的Zw*Key函数是没被HOOK的

2.SystemRoot加载成功后，即hook 其所在的FSD的IRP_MJ_SETINFORMATION

(这里IRP_MJ_CREATE没有被启用）

IRP_MJ_SETINFORMATION的HOOK作用是过滤对其驱动文件和DLL文件的SETINFORMATION(IRP_MJ_FILE_SYSTEM_CONTROL,IRP_MJ_QUERY_VOLUME_INFORMATION)操作

3.hook ZwCreateFile,ZwLoadDriver

ZwCreateFile将以下进程对system32\\drivers\\etc\\hosts的打开重定位到其自定义的hosts文件:winttrs上:

theworld.exe

svchost.exe

services.exe

theworldxp.exe

maxthon.exe

max.exe

ttraveler.exe

myie.exe

greenbrowser.exe

firefox.exe

这样第三方的检测工具或者用记事本打开就无法发现hosts文件被篡改

winttrs由r3部分的dll从固定地址download下来

IRP_MJ_CREATE的HOOK也是做同样的工作，不过没有启用

ZwLoadDriver的HOOK阻止包含了isdrv和ispubdrv的驱动项目启动

即禁止Icesword加载

4.驱动在boot时使用PsSetCreateProcessNotifyRoutine创建一个CreateProcessNotifyRoutine

当检测到userinit.exe被加载时就会启动SystemThread2,作用是向\registry\machine\software\microsoft\windows\currentversion\runonce

写入

%%systemroot%%\system32\rundll32.exe %%systemroot%%\system32\%s.dll,Run

否则就会执行SystemThread1,直到检测到Winlogon进程结束时停止

5.Boot时会创建SystemThread1,作用时检测自身的服务项是否正确，若不正确，则重写之。