安全资讯--鬼影病毒

  以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。 

 

鬼影病毒分析报告


一、 鬼影病毒概述
这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。 

二、鬼影病毒分析
病毒的启动方法

感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统) 进行hook---->hook内核函数实现优先加载驱动并执行病毒驱动------>后期其他操作(比如下载盗号木马,统计感染量等)
1,鬼影病毒感染前后,MBR的变化。
 
中毒后的磁盘扇区变化示意
 

2. 生成部分文件 
%ProgramFiles%\MSDN\atixx.sys(工作驱动
%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区
%ProgramFiles%\MSDN\000000000(木马下载器
%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本 
%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本
以上文件使用后会自删除。 

3. Ring3还原各种钩子 
读取原始KiServiceTable表 ,还原SSDT 表,其他特定钩子的恢复。

4. 结束卡巴斯基 (R3)

通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710- 42F8ED3E8CDC 使得卡巴进程异常退出。

5. 结束其它杀软(R3)

获取杀毒软件进程的公司名,进行hash运算并跟内置杀软的HASH值进行比较,发现相同就结束进程。

6. 通过hive技术绕过江民主防,使用类似硬件驱动安装方式绕过其他主防拦截。

7. 抹掉线程起始地址防止被手工检测

8. 找到explorer(资源管理器)进程,然后插入用户态的apc实现下载病毒木马的功能

9. 枚举进程对象,比较进程对应文件的公司名。 发现需对抗进程则获取线程对象然后结束线程,此时杀软进程异常退出

10. 感染引导区,并将其它文件写入引导区隐蔽加 载难发现,反复感染的难清除

11. 木马下载器功能
下载针对DNF,梦幻西游等热门游戏盗号木马。

12.桌面创建一个名为播放器的快捷方式并 指向某网站,并修改IE首页为http://www.ttjlb.com/

三 感染以后可能现象
电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发 现反复重装系统后问题依旧无法解决


系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
rpcss.dllddraw.dll(这个是盗号木马现在常修改的 系统dll
 
3 QQ号码被盗,可被黑客用来传播广告

魔兽,DNF,天龙八部,梦幻西游等游戏帐号被盗

进程中存在iexplore.exe进程并指向一个不正常的网 站

桌面出现一个名为“播放器”的快捷方式 并指向某网站,并修改IE首 页为http://www.ttjlb.com/

你可能感兴趣的:(资讯)