【赛迪网-IT技术报道】在铁军的博客里看到了有关“鬼影”病毒的分析报告,特整理过来,供各位安全达人一阅。
一、鬼影病毒概述 这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
二、鬼影病毒分析 1.病毒的启动方法
感染MBR以获得凌驾于操作系统的启动权-->HOOK文件操作中断,搜索NTLDR文件(主要目标WindowsXP、Windows2003系统)进行hook-->hook内核函数实现优先加载驱动并执行病毒驱动-->后期其他操作(比如下载盗号木马、统计感染量等)。
图1 鬼影病毒感染前后MBR的变化
图2 中毒后的磁盘扇区变化示意2.生成部分文件
以上文件使用后会自删除。 3.Ring3还原各种钩子
读取原始KiServiceTable表,还原SSDT表,其他特定钩子的恢复。
4.结束卡巴斯基(R3)
通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710-42F8ED3E8CDC使得卡巴进程异常退出。
5.结束其它杀软(R3)
获取杀毒软件进程的公司名,进行hash运算并跟内置杀软的HASH值进行比较,发现相同就结束进程。
6.通过hive技术绕过江民主防,使用类似硬件驱动安装方式绕过其他主防拦截。
7.抹掉线程起始地址防止被手工检测。
8.找到explorer(资源管理器)进程,然后插入用户态的apc实现下载病毒木马的功能。
9.枚举进程对象,比较进程对应文件的公司名。发现需对抗进程则获取线程对象然后结束线程,此时杀软进程异常退出。
10.感染引导区,并将其它文件写入引导区,隐蔽加载难发现,反复感染的难清除。
11.木马下载器功能:下载针对DNF、梦幻西游等热门游戏盗号木马。
12.桌面创建一个名为播放器的快捷方式并指向某网站,并修改IE首页为hxxp://www.ttjlb.com/。
三、感染以后可能现象 1.电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。
2.系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。
rpcss.dll、ddraw.dll(这个是盗号木马现在常修改的系统dll)3.QQ号码被盗,可被黑客用来传播广告等。
4.魔兽、DNF、天龙八部、梦幻西游等游戏帐号被盗。
5.进程中存在iexplore.exe进程并指向一个不正常的网站。
6.桌面出现一个名为“播放器”的快捷方式,并指向某网站,修改IE首页为hxxp://www.ttjlb.com/。
附:系统开机启动过程示意图(仅适用于WinXP)