鬼影病毒分析报告-----转金山论坛，铁军，可结束卡巴？卡巴有应对没？

暮雨

鬼影病毒分析报告

一、鬼影病毒概述
这是一个木马下载器，使用了ring3恢复内核钩子、感染磁盘引导区（MBR）、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后，是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。

二、鬼影病毒分析
1 病毒的启动方法
感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断，搜索NTLDR文件（主要目标xp,2003系统） 进行hook---->hook内核函数实现优先加载驱动并执行病毒驱动------>后期其他操作（比如下载盗号木马，统计感染量等）
图1，鬼影病毒感染前后，MBR的变化。

图2 中毒后的磁盘扇区变化示意


2. 生成部分文件
%ProgramFiles%\MSDN\atixx.sys(工作驱动)
%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区)
%ProgramFiles%\MSDN\000000000(木马下载器)
%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本
%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本)
以上文件使用后会自删除。

3. Ring3还原各种钩子
读取原始KiServiceTable表 ，还原SSDT 表，其他特定钩子的恢复。

4. 结束卡巴斯基 (R3)
通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710- 42F8ED3E8CDC 使得卡巴进程异常退出。

5. 结束其它杀软(R3)
获取杀毒软件进程的公司名，进行hash运算并跟内置杀软的HASH值进行比较，发现相同就结束进程。

6. 通过hive技术绕过江民主防，使用类似硬件驱动安装方式绕过其他主防拦截。

7. 抹掉线程起始地址防止被手工检测

8. 找到explorer（资源管理器）进程，然后插入用户态的apc实现下载病毒木马的功能

9. 枚举进程对象，比较进程对应文件的公司名。 发现需对抗进程则获取线程对象然后结束线程，此时杀软进程异常退出

10. 感染引导区，并将其它文件写入引导区，隐蔽加载难发现，反复感染的难清除

11. 木马下载器功能
下载针对魔兽，DNF，梦幻西游等热门游戏盗号木马。

12.桌面创建一个名为成人播放器的快捷方式并指向色情网站，并修改IE首页为http://www.ttjlb.com/

三 感染以后可能现象
1 电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决

2 系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
rpcss.dll，ddraw.dll（这个是盗号木马现在常修改的系统dll）

3 QQ号码被盗，可被黑客用来传播广告等

4 魔兽，DNF，天龙八部，梦幻西游等游戏帐号被盗

5 进程中存在iexplore.exe进程并指向一个不正常的网站

6 桌面出现一个名为“成人播放器”的快捷方式并指向色情网站，并修改IE首页为http://www.ttjlb.com/

暮雨

不知道卡巴可以查杀了没？？？

尤金卡巴斯基

Trojan.Win32.KillAV.fqi

3月9日就已经可以查杀了

http://www.kaspersky.com/viruswa ... =5&x=21&y=0

暮雨

Trojan.Win32.KillAV.fqi

3月9日就已经可以查杀了
尤金卡巴斯基 发表于 2010-3-18 23:36

    安心了。。。

chen月

入库非常快的说

song3062455

卡巴斯基 我赞！这下放心了

danhn123

回复 3# 尤金卡巴斯基
好啊!怕了这个了

junplus

如果卡巴设置密码保护和严格的hips，还能突破？

lzw555

卡巴的入库速度绝对一赞...

傲骨先生

挺厉害的，可以关闭卡巴，看来卡巴还需要努力修补技术啊