鬼影病毒分析報告
一、 鬼影病毒概述
這是乙個***
恢復核心鉤子、感染磁碟引導區(
mbr)、多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後,是乙個看不到可疑檔案、沒有啟動項、普通重灌系統也無法解決的頑固病毒。
二、鬼影病毒分析
1 病毒的啟動方法
感染mbr
以獲得凌駕於作業系統的啟動權
---->hook
檔案操作中斷,搜尋
ntldr
檔案(主要目標
xp,2003
系統) 進行
hook---->hook
核心函式實現優先載入驅動並執行病毒驅動
------> 圖
1,鬼影病毒感染前後,
mbr的變化。
圖2 中毒後的磁碟扇區變化示意
2. 生成部分檔案
%programfiles%\msdn\atixx.sys(工作驅動)
%programfiles%\msdn\atixi.sys(負責將其他檔案寫入引導區
) )
%programfiles%\msdn\atixx.inf(驅動安裝指令碼
%programfiles%\msdn\atixi.inf(驅動安裝指令碼)
以上檔案使用後會自刪除。
3. ring3還原各種鉤子
讀取原始kiservicetable
表 ,還原
ssdt
表,其他特定鉤子的恢復。
4. 結束卡巴斯基
(r3)
通過結束卡巴斯基事件控制代碼basenamedobjects\f953ea60-8d5f-4529-8710- 42f8ed3e8cdc
使得卡巴程序異常退出。
5. 結束其它殺軟
(r3)
獲取防毒軟體程序的公司名,進行hash
運算並跟內建殺軟的
hash
值進行比較,發現相同就結束程序。
6. 通過hive
技術繞過江民主防,使用類似硬體驅動安裝方式繞過其他主防攔截。
7. 抹掉執行緒起始位址防止被手工檢測
8. 找到explorer
(資源管理器)程序,然後插入使用者態的
apc9.
列舉程序物件,比較程序對應檔案的公司名。 發現需對抗程序則獲取執行緒物件然後結束執行緒,此時殺軟程序異常退出
10. 感染引導區,並將其它檔案寫入引導區
,隱蔽加 載難發現,反覆感染的難清除
,夢幻西遊等熱門遊戲盜號***。
ie首頁為
三 感染以後可能現象
1 電腦非常卡,操作程式有明顯的停滯感,常見防毒軟體無法正常開啟,同時發 現反覆重灌系統後問題依舊無法解決
2 系統檔案被感染防毒查殺以後提示找不到相應的
dll或者系統功能不正常
rpcss.dll,
ddraw.dll
(這個是盜號***現在常修改的 系統
dll)
3 qq號碼被盜,可被***用來傳播廣告等
4 魔獸,
dnf,天龍八部,夢幻西遊等遊戲帳號被盜
5 程序中存在
iexplore.exe
程序並指向乙個不正常的網 站
ie首 頁為
附:系統開機啟動過程示意圖(僅適用於winxp)
鬼影病毒分析報告
鬼影病毒分析報告 一 鬼影病毒概述 這是乙個 恢復核心鉤子 感染磁碟引導區 mbr 多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後,是乙個看不到可疑檔案 沒有啟動項 普通重灌系統也無法解決的頑固病毒。二 鬼影病毒分析 1 病毒的啟動方法 感染mbr 以獲得凌駕於作業系統的啟動權 hoo...
鬼影病毒處理方法
重灌系統格式化c盤,進入dos狀態,執行fdisk mbr命令,用以清除掉主引導區的病毒引導 這時候重灌系統就可以了,但是這是在完全安裝起作用的,如果你用是ghost安裝系統那麼還要多做以下幾步 1 通過ghost系統盤進入pq pm分割槽工具,一般ghost系統盤都帶的。2 右擊c盤,選擇高階 設...
發布「燈泡男」病毒分析報告
曾有朋友懷疑 燈泡男 是 熊貓燒香 作者的新作品,特徵是圖示為乙個男生頭像,眼睛象燈泡。會繼續關注這個病毒的進展。以下是分析報告 病毒名 win32.wizardboy.a.48411 威脅級別 中文名稱 神奇小子 病毒別名 病毒型別 win32病毒 病毒簡介 這是乙個感染型病毒,感染擴充套件名為....