病毒描述病毒名称 : Win32/PatchFile.kr
文件MD5 : d12838c04be40c0f9459cc5f182fadb2
文件大小 : 20,640 字节
编写环境 : VC++6.0
是否加壳 : 否
文档公开级别 : 完全公开
病毒执行体描述:
此样本为Dll(动态链接库)文件, 劫持系统文件sfc_os.dll来达到自身加载的目的,sfc_os.dll会由Winlogin.exe或Svchost.exe 加载。
执行过程中会检测在哪个进程中执行,如果执行的权限较高则进入释放驱动到系统目录下,驱动的功能有劫持国内主流杀软的进程创建,读取改写磁盘MBR,以便开机后有优先权限早于杀毒软件加载,来禁止杀软运行。
检测当前系统中不存在杀毒软件了,会进行其他病毒的下载,探测固定的域名看是否可以上网,网络畅通就进入下载流程。
病毒行为流程分析:
一.病毒运行后首先获取操作系统版本号,取得系统版本,如果是xp系统,则对系统目录下 "sfc_os.dll"进行劫持。并将自身复制到系统目录下覆盖"sfc_os.dll",此Dll(动态链接库)由Winlogin.exe 或Svchost.exe进程加载, 病毒在劫持运行之初就已有系统操作用户层高权限。
二.创建两个主要工作线程,
第一个工作线程:主要来检测当前系统中安装了哪些杀毒软件,如果当前系统中存在的进程与病毒所针对的杀软名称相同,则对进程名称进行记录。然后检测病毒所加载的进程权限,低权限则进行提权操作(使操作系统文件不会失败)。第二个工作线程: 释放本身的资源文件到系统目录下 名称为XXXX.sys(XXX为随机名称), 开始驱动加载并运行的操作。获取当前系统内核的加载文件, 加载到当前进程的内存中, 然后获得MmGetSystemRoutineAddress , KeInsertQueueApc, PsTerminateSystemThread.并每个函数取八个字节保存,传入驱动中检测函数是否被Hook.创建两个子工作线程,
第一个工作线程的任务就是监视当前系统中所有的进程,遇到列表中的进程时,将进程PID(识别号)传入内核驱动,由驱动结束该进程并阻止继续创建。
第二个工作线程的任务是读取当前系统的MBR,获取当前的主次分区表结构,对MBR进行劫持,以达到每次开机系统驱动加载的顺序总优先于杀毒软件驱动加载,以达到阻止杀软(进程列表下图)启动的目的。线程执行完毕后跳转到主函数模块流程继续执行下载文件操作,下载病毒至本地系统临时文件夹中,并运行。流程为: 检测当前网络是否通畅,检测baidu.com(这个域名不会出问题),通畅后连接http://xcode.66jiji.com/down/11.exe 下载至本地运行。
进程中加载的sfc_os.dll(劫持Dll)模块流程完成。
 
以上为病毒阻止运行的杀软进程列表。
释放的文件:%SystemRoot%System32DriversXXXXX.sys (根据当前随机值决定)//杀软控制以及MBR写入的文件.%Temp%temp.tmp //为Dll执行最后下载病毒文件。
病毒技术要点
病毒对系统对自身避免杀毒查杀上做了很多规避,利用修改MBR达到病毒无文件自启动,对系统的支持性和容错方面做了一些判断,程序第一次运行和重启以后运行的流程完全不一样。但是达到一个完整的效果,就是下载木马病毒。第一次的运行在对MBR写入后,在相应修改MBR位置所对应的区域也是自己存放原始MBR以及启动数据代码Hook相关的操作。会检测系统中相关重要函数的是否hook,对hook的函数进行恢复hook,仅仅检测前八字节而已。
病毒清理流程
1. 病毒sfc_os.dll每次被加载后都检测MBR是否被修复,如果被修复重复刷入.
2.在保证病毒体不被运行的情况下,可以修复MBR分区表,当MBR恢复以后程序自身不会被加载到。
3.对加载的系统驱动进行卸载,再恢复MBR之前Winlogin.exe或Svchost.exe必须卸载sfc_os.dll模块。
4.样本对BIOS未做修改,可直接使用重建系统引导区来进行修复。修复后安装江民杀毒进行系统全面的杀毒,以防遗漏。Fdisk/MBR修复法用启动盘启动电脑,在命令提示符下输入“Fdisk/mbr”命令,再按“Enter”键即可进行修复。用Fdisk/mbr命令修复 MBR的方法只适用于主引导区记录被引导区型病毒破坏或主引导记录代码丢失,且主分区没有损坏的情况。因为此方法只是覆盖主引导区记录的代码,不能重建主分区表。启动 DOS并输入“C:” ,按“Enter”键,如果可以读取C盘数据就能用Fdisk/MBR命令恢复MBR,且能保留原有数据;否则不能用Fdisk/MBR命令恢复MBR。 |
发表于 2012-8-3 18:15:36
