用“文件一致性验证工具”查找被TDSS感染的系统驱动文件－－失败

byxxdrls

样本：http://bbs.duba.net/thread-22303314-1-1.html

首先用A8A9.EXE备份DRIVERS目录下的驱动文件的MD5值（如果在中毒后用A8A9备份MD5值，同样可以找到有问题的文件）。运行病毒后用XUETR0.37检验病毒运行是否完成（即是否有对象劫持）。确认完成后，再用“文件一致性验证工具”检查，第一次检查速度很快，没发现异常文件；再次验证－－出错；关掉程序重新运行，找到一个不一致的文件，如图：


重启到PE下用A8A9.EXE验证：

[a8a9-v1.3-0719-MD5-ccwm-hi.baidu.com/moodmusic]
------------
c:\windows\system32\drivers\AGPCPQ.SYS
Wrong
------------
OK!

重启后想到了卡巴的TDSS专杀，运行了一下：



经专杀处理后重启，再用XUETR0.37检查，系统不存在对象劫持。

kafan988

嗯，好像是有点问题 啊

银砾石

这个样本试了下，vbox虚拟机下好像没反应。。
猜测原因大概有2：
1.样本干扰了磁盘读取，造成底层读取不到正确的内容（包括隐藏了文件导致找不到），由于IsFileSame采用的是ring3读取，所以可能性是有的，解决的方法是加强IsFileSame的读功能，比如采用驱动进内核来读取或者采取样本不支持的文件系统（什么文件系统不支持需要测试，比如exfat可以试试）
2.样本未干扰常规读，也就是说，常规读取样本感染的驱动和底层读取的内容是一样的，这种情况下，虽然受感染的文件已经不是原本的文件，但由于IsFileSame只看常规和底层是否相同，所以仍然能够通过。
差不多是这两种的某种。

dl123100

肯定是不行的
看TDSS加载后XueTr显示的那些劫持就知道了 要绕在miniport设备上的劫持不是那么容易的 还有关机回写另外 TDSS写磁盘扇区自建了一个简易文件系统 不解密后用它Ring3接口读也是很麻烦的

byxxdrls

回复 3楼 银砾石  的帖子


    此样本在VPC上运行会蓝屏，我是在VM中运行的。但也不是每次都能运行成功的。

byxxdrls

回复 3楼 银砾石  的帖子
我把“被感染的文件”从虚拟机中拖到实机中来验证，确实没被感染呢。难道病毒在开机启动后自我解毒了？只是强行关闭虚拟机电源也不能解决呢？也许是病毒给你复制出来的就是正常的？

   

恶意代码

回复 6楼 byxxdrls  的帖子


    文件一致性验证工具，这个软件不是检查感染的吧
    如果我没理解错的话，举个例子吧
    我觉得这个软件主要是针对rootkit的，比如，一个文件，体积是500K，病毒入侵后，体积是600K，而病毒挂钩使文件显示的体积是500K，同时使一般软件只能读取前面500K的内容。而文件一致性验证工具呢，却可以读取到600K的内容，与用一般API读取出的内容不一样，所以就显示出这个文件的不正常。当然，文件一致性验证工具不一定是读取出这个软件的内容，可能是只读文件中的一部分。
    不过，文件一致性验证工具是RING3的，还是不如驱动级的好，而且，不支持WIN7

byxxdrls

回复 7楼 恶意代码  的帖子


    嗯，如果能校验MD5就好了

supjx

真不知道，看不明白了

恶意代码

回复 8楼 byxxdrls  的帖子


    用快照对比工具吧

http://bbs.kafan.cn/thread-642215-1-1.html

不过不是用MD5，但能看出文件是否被更改