本帖最后由 羊羔助手 于 2016-5-24 11:24 编辑
2016年5月,《驱动齿轮》官方安装包已被一种感染型病毒感染,如果用户下载安装,其计算机也会遭受与《驱动齿轮》相同被感染的命运。
使用《Internet Explorer 8》或更高版本的用户在默认开启“SmartScreen 筛选器”的情况下会阻止被感染安装包下载。如果不慎下载运行,释放出来的病毒会将一个病毒模块插入到“explorer.exe”中,然后全盘感染受害者电脑上的“.exe”文件。下图为《Process Monitor》监视被插入病毒模块的“explorer.exe”全盘感染“.exe”的日志记录结果,估计《驱动齿轮》官方的安装包程序就是这样被感染的。
“DriverExpert_Setup.exe”中的病毒感染受害者计算机后,会通过DLL映像劫持来达到随机启动的效果,并感染可移动设备,最后对全盘“.exe”文件注入病毒代码。而且该病毒还具有反虚拟机能力,如果在《VMware Workstation》下测试运行该病毒,虚拟机会自动黑屏关机。经本人测试,这个病毒的特征与一个很古老的感染型病毒“马吉斯”极为相似。“马吉斯”病毒曾疯狂流行于2001年,首次爆发在欧洲,通过电子邮件进行传播。不过到现在任何一款杀毒软件能杀掉并清理它,这也解释了为什么连IE的“SmartScreen 筛选器”都能拦截它住的原因。
《马吉斯》
病毒名称:“马吉斯”病毒;
病毒类型:感染型病毒/邮件病毒;
危害等级:★★★★
危害平台:Windows 系统;
测试平台:实机;
病毒样本:
附上感染“马吉斯”病毒的《驱动齿轮》安装包,请在下载后24小时内删除。病毒样本仅供学习参考使用,不得破坏他人计算机等非法用途,如有后果请自负,本人不承担任何法律责任!
提取码:40b7
解压密码:Drive gear
由于该病毒具有反虚拟机的能力,所以本人将其释放在安装有《DeepFreeze》的实机下进行测试与分析。受《DeepFreeze》的保护机制影响,病毒运行后部分功能受到限制。
运行被“马吉斯”病毒感染的《驱动齿轮》安装包“DriverExpert_Setup.exe”后,病毒首先会在“C:\WINDOWS”目录下创建一个伪系统文件“linkinfo.dll”来添加DLL映像劫持,而真正的“linkinfo.dll”则在“C:\WINDOWS\system32”目录下。然后病毒会检测当前运行的“explorer.exe”进程中是否存在该病毒模块,否则另外创建一个新的“explorer.exe”进程。根据Windows系统对DLL的加载规则,新运行的“explorer.exe”会最先加载自身目录下的“linkinfo.dll”,从而达到运作病毒的效果。
“linkinfo.dll”通过“explorer.exe”运行后会隐藏自身文件的显示,使病毒模块“linkinfo.dll”在“C:\WINDOWS”目录下消失得无影无踪。随后病毒会在“C:\WINDOWS\System32\drivers”目录下创建一个名为“IsDrv122.sys”的病毒驱动程序,并将其加载运行。加入系统内核运行的“IsDrv122.sys”会给注册表提权,并在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支下为其创建一个与病毒模块同名的隐藏服务项,最后删除自身文件。
“马吉斯”病毒的一切安装过程进行完毕后,便会全盘感染后缀名“.exe”的应用程序。还会检测是否存在可移动设备,如果存在就会在其目录下创建病毒源程序“boot.exe”,即病毒样本。当然,这个病毒也并非会感染所有“.exe”文件,某些特定的应用软件主程序会被该病毒排除在外。使用记事本打开病毒动态链接库“linkinfo.dll”,就可以在其程序乱码中看到被排除感染的程序。
经查明,“马吉斯”病毒破坏感染的程序以及排除感染的程序均是一些十多年前的应用软件程序,甚至还有《瑞星卡卡》的驱动程序“RsBoot.sys”,可见这个感染型病毒是多么的古老。
由于该病毒产生年代过早,现在任何一款杀毒软件都能查杀并拦截它,而且网上也有不少对“马吉斯”病毒的专杀工具。所以本人就不在这提供手动查杀方法了,不幸中招的网友使用专杀工具解决和修复被感染的“.exe”文件就行了。
计算机反病毒专家 —— 羊羔助手(Lamb Assistant) | 
发表于 2016-5-23 19:14:10
