魔影病毒学习总结
魔影病毒
1 介紹
2 傳播渠道
3 病毒危害
4 查殺防御
介紹
魔影病毒[1] ?是一個在歐美等國家爆發病毒,采用的是TDSS.TDL-4rootkit技術,該病毒行為大概流程
是這樣的,首先偽裝成打印機驅動獲得系統最高級別執行權限,然后在windows操作系統下直接改寫硬盤
主引導記錄(MBR),然后創建rootkit驅動,通過驅動實現病毒隱蔽效果和自我保護。最后黑客發布指
令給木馬下載器,使木馬下載器在中毒用戶的電腦中下載各種廣告程序。“魔影”病毒不僅影響所有32
位、64位的WindowsXP,還會影響Vista以及Windows7系統。根據國外多家安全機構發布數據表明,“全
球大概有300萬臺電腦感染了魔影病毒,例如,美國及歐洲多國為病毒重災區,病毒作者疑似俄羅斯或者
其他俄語國家的黑客高手。
傳播渠道
1.該病毒傳播渠道主要偽裝成國外軟件破解補丁傳播;
2.主要以歐美國家為主,國內沒有大面積病毒傳播。
病毒危害
1.上傳中毒用戶的上網行為信息,有可能會上傳隱私信息;
2.重裝系統,格式化硬盤也無效。
查殺防御
據金山網絡云安全中心的統計數據顯示,魔影病毒感染量并未在國內出現大爆發。金山網絡安全專家判
斷該病毒短期內不會出現大規模爆發,廣大網民勿須驚慌。同時,金山網絡安全中心將密切關注該病毒
的動態,根據病毒感染量的具體情況,適時推出魔影病毒專殺,以幫助那些沒有安裝金山毒霸的網民清
除病毒。另外360安全衛士也緊急的發布了:360魔影專殺工具。將全力查殺此類病毒
========
魔影病毒專殺
摘要: ? ?近日針對所謂歐美超級病毒的“魔影病毒”,金山網絡安全專家指出,魔影病毒目前只在歐美國家進行爆發,并沒有在國內爆發,請廣大網民不必恐慌,而且金山網絡安全中心已經截獲該病毒并
且可以實現攔截。
關鍵詞:魔影病毒 魔影病毒專殺
? ? 近日針對所謂歐美超級病毒的“魔影病毒”,金山網絡安全專家指出,魔影病毒目前只在歐美國家
進行爆發,并沒有在國內爆發,請廣大網民不必恐慌,而且金山網絡安全中心已經截獲該病毒并且可以
實現攔截。
?
? 魔影病毒是什么
?
? ? 魔影病毒是一個在歐美等國家爆發病毒,采用的是TDSS.TDL-4rootkit技術,該病毒行為大概流程是
這樣的,首先偽裝成打印機驅動獲得系統最高級別執行權限,然后在windows操作系統下直接改寫硬盤主
引導記錄(MBR),然后創建rootkit驅動,通過驅動實現病毒隱蔽效果和自我保護。最后黑客發布指令
給木馬下載器,使木馬下載器在中毒用戶的電腦中下載各種廣告程序。“魔影”病毒不僅影響所有32位
、64位的WindowsXP,還會影響Vista以及Windows7系統。根據國外多家安全機構發布數據表明,“全球
大概有300萬臺電腦感染了魔影病毒,例如,美國及歐洲多國為病毒重災區,病毒作者疑似俄羅斯或者其
他俄語國家的黑客高手。
?
? ? 魔影病毒傳播渠道:
?
? ? 1.目前該病毒傳播渠道主要偽裝成國外軟件破解補丁傳播;
?
? ? 2.目前主要以歐美國家為主,國內目前沒有大面積病毒傳播。
?
? ?魔影病毒的危害:
?
? ? 1.上傳中毒用戶的上網行為信息,有可能會上傳隱私信息;
?
? ? 2.重裝系統,格式化硬盤也無效。
?
? 魔影病毒如何防御,魔影病毒專殺下載
?
? ? 據金山網絡云安全中心的統計數據顯示,魔影病毒感染量并未在國內出現大爆發。金山網絡安全專
家判斷該病毒短期內不會出現大規模爆發,而且安裝金山毒霸的用戶勿須驚慌。同時,金山網絡安全中
心將密切關注該病毒的動態,根據病毒感染量的具體情況,適時推出魔影病毒專殺,以幫助那些沒有安
裝金山毒霸的網民清除病毒。
?只要正常開啟金山毒霸,魔影病毒就無法感染電腦。
?
? ? 注意:如果電腦頻繁出現瀏覽器首頁被篡改、桌面廣告圖標刪不掉等中毒癥狀,不一定是感染魔影
病毒,如果您是xp操作系統,出現重裝系統后反復殺毒還無效,可能中的是鬼影病毒,建議立即下載專
殺。
?
========
TDSS(魔影)病毒淺析及手殺方案
摘要:TDSS又稱為魔影病毒,聽到這個名字是不是聯想到鬼影了?不錯,雖然兩者出現時間不同,但病
毒思路是相似的,只不過TDSS相對于鬼影做了技術上的優化,是鬼影病毒的升級版。
TDSS又稱為魔影病毒,聽到這個名字是不是聯想到鬼影了?不錯,雖然兩者出現時間不同,但病毒思路
是相似的,只不過TDSS相對于鬼影做了技術上的優化,是鬼影病毒的升級版。
TDSS和鬼影病毒都會通過修改MBR代碼,在實模式下掛接BIOS磁盤讀寫中斷(INT 13h)函數獲取執行權
限,但掛鉤位置有所不同。鬼影是直接在INT 13h中過濾系統加載模塊的特征位置掛鉤,而TDSS是用病毒
文件替換系統文件載入內存,不會對內核任何代碼進行INLINE HOOK操作,也沒有修改內核公開結構,因
此達到了完美的隱藏,一般的ARK工具很難檢測到它。
不管是TDSS還是鬼影,它們采用的都是一個技術——Bootkit,也就是更高級的Rootkit。這個概念最早
于2005年被eEye Digital公司在他們的“BootRoot”項目中提及,該項目通過感染MBR的方式,實現繞過
內核檢查和啟動隱身。可以認為,所有在開機時比Windows內核更早加載,實現內核劫持的技術,都可以
稱之為Bootkit。病毒作者就是利用了這一技術給國內外安全廠商制造了一個不小的難題。病毒作者具有
高超的編程和逆向分析能力,筆者不才,希望能從大體邏輯架構上對該病毒做個梳理,讓大家簡單了解
下該病毒的加載過程和巧妙之處。
TDSS病毒案例分析
本例中的TDSS有以下組成部分:bckfg.tmp、cfg.ini、cmd.dll、cmd64.dll、drv32、drv64、ldr16、
ldr32、ldr64和mbr。這些文件加密存放于磁盤末尾的一個空間中,獨立于Windows的文件系統,病毒自
己實現文件系統來解析和讀寫這些文件。上述文件名包含32和64,可以看出,TDSS不僅可以感染32位系
統,連64位的系統也被拿下了,這也是它強過鬼影的一個方面。
A. 病毒母體運行后會釋放一個隨機數命名的tmp文件,它實際上是一個驅動,利用打印管理庫函數
winspool.drv讓自己加載起來,取得處理磁盤請求的最底層設備,獲取磁盤容量,寫入MBR,建立起自己
的文件系統。
B. 重啟電腦時,病毒開始進一步加載,病毒寫入的MBR中包含ldr16,會搜索將其加載至內存,然后轉交
控制權。
C. ldr16加載后掛鉤BIOS的INT 13h中斷,獲得保護模式下的執行權,根據系統位數(32位或64位)尋找
ldr32或ldr64,在內存中替換原始的系統文件kdcom.dll并加載。
除此之外,ldr16鉤子還會修改BCD(Boot Configuration Data,引導配置數據),進而繞過Windows系
統的核心驅動簽名驗證策略,有效地避免了系統的自身檢查,達到成功加載的目的。
D. 調用KdDebuggerInitialize1函數,幫助rootkit完成初始化。根據系統位數(32位或64位)搜索
drv32或drv64,讀取該驅動并加載到內存,設置掛鉤,劫持DISK下層設備,隱藏自身數據,啟動監視進
程,反復感染MBR,達到自我保護的目的。
E. 根據cfg.ini配置文件,將cmd.dll代碼注入指定進程。
TDSS病毒手工處理方法
從上面分析過程可以看出,TDSS的所有動作都是從MBR開始執行,所以要想解決這個病毒,就得對癥下藥
,從MBR著手處理。
1) 刪除未知模塊的系統回調。
圖1:刪除系統回調
2) 恢復病毒對SCSI的所有掛鉤。
圖2:恢復SCSI HOOK
3) 在內核鉤子—DISK選項卡中恢復下層設備劫持。
圖3:恢復下層設備劫持
4) 進入內核—工作線程隊列,暫停病毒線程。這是最關鍵的一步,如果這個線程沒有停下來,接下來
的重置MBR就是徒勞,因為它會不斷監視并改寫MBR。
圖4:暫停病毒監視線程
5) 用XueTr替換原先備份好的未感染的MBR。
圖5:重置被病毒改寫的MBR
6) 上面步驟完成后,重啟系統,再用XueTr檢查一遍,之前的異常項都不見了。至此,算是把TDSS趕出
系統了。可能有人會問,那之前病毒加密存放在磁盤尾部的那些文件怎么辦?會不會“復活”再次感染
系統呢?其實大可放心,只要MBR恢復了,那些病毒代碼就成了死物,不會對系統構成威脅。如果實在不
放心的話,可以手工清除那些病毒代碼,方法就是將病毒代碼所在扇區填0。用Sector Editor打開磁盤
,跳轉到最后一個扇區,然后逐個往前,找到所有被寫入病毒代碼的扇區,選中后用16進制數00填充。
圖6:用Sector Editor把病毒寫入的扇區填0
注意:填充扇區操作需謹慎,首先要查看硬盤是否存在重映射扇區。當硬盤檢測到壞的扇區時,會將這
些壞的扇區重映射到備用扇區,以維持硬盤正常運行,所以重映射扇區與病毒寫入的備用扇區可能會混
雜在一起,隨便填充的話會造成系統無法啟動,那就得不償失了,所以此方法僅適用于備用扇區尚未使
用的情況下。
目前TDSS病毒家族已經進化發展了四代,TDL-4是第四代,也是最“優秀”的一代,它很好地迎合了64位
平臺的需求,病毒的各個模塊分工明確、邏輯清晰、設計巧妙,可以說是目前最有技術含量的一類病毒
。這對于殺毒軟件廠商來說是一個很大的挑戰,需要提供64位平臺下有效的反Rootkit方案。當然,如果
能從全局考慮,提高殺毒軟件的綜合監控能力,在病毒獲得執行機會之前就將其扼殺在搖籃中就更好了
。
========
總結
- 上一篇: iOS之WebView的使用总结
- 下一篇: Windows内核的表学习总结