加入网吧中国 网管会员俱乐部 注册 登陆 加入收藏 | 设为首页 | 会员中心 | 我要投稿 |
您当前的位置:首页 > 网吧学院 > 网络安全

鬼影病毒原理分析以及免疫鬼影病毒方法

时间:2010-03-25 09:39:00  来源:  作者:

近日,很多网吧相继被名为“鬼影”穿透,大量网吧玩家游戏帐号被盗。鬼影病毒技术高超,病毒样本提取非常困难。

一、鬼影病毒概述

这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。

二、鬼影病毒分析

1病毒的启动方法

感染MBR以获得凌驾于操作系统的启动权—->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统)进行hook—->hook内核函数实现优先加载驱动并执行病毒驱动——>后期其他操作(比如下载盗号木马,统计感染量等)

2.生成部分文件

%ProgramFiles%/MSDN/atixx.sys(工作驱动)

%ProgramFiles%/MSDN/atixi.sys(负责将其他文件写入引导区)

%ProgramFiles%/MSDN/000000000(木马下载器)

%ProgramFiles%/MSDN/atixx.inf(驱动安装脚本

%ProgramFiles%/MSDN/atixi.inf(驱动安装脚本)

以上文件使用后会自删除。

3.Ring3还原各种钩子

读取原始KiServiceTable表,还原SSDT表,其他特定钩子的恢复。

4.结束卡巴斯基(R3)

通过结束卡巴斯基事件句柄BaseNamedObjects/f953EA60-8D5F-4529-8710-42F8ED3E8CDC使得卡巴进程异常退出。

5.结束其它杀软(R3)

获取杀毒软件进程的公司名,进行hash运算并跟内置杀软的HASH值进行比较,发现相同就结束进程。

6.桌面创建一个名为成人播放器的快捷方式并 指向色情网站,并修改IE首页为http://www.ttjlb.com/.

7.抹掉线程起始地址防止被手工检测

8.找到explorer(资源管理器)进程,然后插入用户态的apc实现下载病毒木马的功能.

9.枚举进程对象,比较进程对应文件的公司名。发现需对抗进程则获取线程对象然后结束线程,此时杀软进程异常退出.

10.感染引导区,并将其它文件写入引导区

隐蔽加载难发现,反复感染的难清除.

11.木马下载器功能

下载针对魔兽,DNF,梦幻西游等热门游戏盗号木马。

三、感染以后可能现象

1电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决

2系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常

rpcss.dll,ddraw.dll(这个是盗号木马现在常修改的系统dll)

3QQ号码被盗,可被黑客用来传播广告等.

4魔兽,DNF,天龙八部,梦幻西游等游戏帐号被盗.

5进程中存在iexplore.exe进程并指向一个不正常的网站.

免疫鬼影病毒方法,批处理版.

del /f /q

"c:/windows/system32/DRIVERS/atixx.sys"

md

"c:/windows/system32/DRIVERS/atixx.sys"

echo y|cacls

"c:/windows/system32/DRIVERS/atixx.sys" /t /c /d ""

del /f /q

"c:/windows/system32/DRIVERS/atixi.sys"

md

"c:/windows/system32/DRIVERS/atixi.sys"

echo y|cacls

"c:/windows/system32/DRIVERS/atixi.sys" /t /c /d ""

md "c:/Program

Files/MSDN"

echo y|cacls "c:/Program Files/MSDN" /t /c /d

""

把以上代码放到网维开机执行批处理里面执行!或者添加到自己的开机维护通道里面!

上一篇:注意:分析10大错误让网络如何不安全
下一篇:易游升级SDP保护 推出鬼影病毒防护方案
来顶一下
近回首页
返回首页
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
栏目更新
栏目热门