魔影病毒学习总结
魔影病毒
1 介绍
2 传播渠道
3 病毒危害
4 查杀防御
介绍
魔影病毒[1] 是一个在欧美等国家爆发病毒,采用的是TDSS.TDL-4rootkit技术,该病毒行为大概流程
是这样的,首先伪装成打印机驱动获得系统最高级别执行权限,然后在windows操作系统下直接改写硬盘
主引导记录(MBR),然后创建rootkit驱动,通过驱动实现病毒隐蔽效果和自我保护。最后黑客发布指
令给木马下载器,使木马下载器在中毒用户的电脑中下载各种广告程序。“魔影”病毒不仅影响所有32
位、64位的WindowsXP,还会影响Vista以及Windows7系统。根据国外多家安全机构发布数据表明,“全
球大概有300万台电脑感染了魔影病毒,例如,美国及欧洲多国为病毒重灾区,病毒作者疑似俄罗斯或者
其他俄语国家的黑客高手。
传播渠道
1.该病毒传播渠道主要伪装成国外软件破解补丁传播;
2.主要以欧美国家为主,国内没有大面积病毒传播。
病毒危害
1.上传中毒用户的上网行为信息,有可能会上传隐私信息;
2.重装系统,格式化硬盘也无效。
查杀防御
据金山网络云安全中心的统计数据显示,魔影病毒感染量并未在国内出现大爆发。金山网络安全专家判
断该病毒短期内不会出现大规模爆发,广大网民勿须惊慌。同时,金山网络安全中心将密切关注该病毒
的动态,根据病毒感染量的具体情况,适时推出魔影病毒专杀,以帮助那些没有安装金山毒霸的网民清
除病毒。另外360安全卫士也紧急的发布了:360魔影专杀工具。将全力查杀此类病毒
========
魔影病毒专杀
摘要: 近日针对所谓欧美超级病毒的“魔影病毒”,金山网络安全专家指出,魔影病毒目前只在欧美国家进行爆发,并没有在国内爆发,请广大网民不必恐慌,而且金山网络安全中心已经截获该病毒并
且可以实现拦截。
关键词:魔影病毒 魔影病毒专杀
近日针对所谓欧美超级病毒的“魔影病毒”,金山网络安全专家指出,魔影病毒目前只在欧美国家
进行爆发,并没有在国内爆发,请广大网民不必恐慌,而且金山网络安全中心已经截获该病毒并且可以
实现拦截。
魔影病毒是什么
魔影病毒是一个在欧美等国家爆发病毒,采用的是TDSS.TDL-4rootkit技术,该病毒行为大概流程是
这样的,首先伪装成打印机驱动获得系统最高级别执行权限,然后在windows操作系统下直接改写硬盘主
引导记录(MBR),然后创建rootkit驱动,通过驱动实现病毒隐蔽效果和自我保护。最后黑客发布指令
给木马下载器,使木马下载器在中毒用户的电脑中下载各种广告程序。“魔影”病毒不仅影响所有32位
、64位的WindowsXP,还会影响Vista以及Windows7系统。根据国外多家安全机构发布数据表明,“全球
大概有300万台电脑感染了魔影病毒,例如,美国及欧洲多国为病毒重灾区,病毒作者疑似俄罗斯或者其
他俄语国家的黑客高手。
魔影病毒传播渠道:
1.目前该病毒传播渠道主要伪装成国外软件破解补丁传播;
2.目前主要以欧美国家为主,国内目前没有大面积病毒传播。
魔影病毒的危害:
1.上传中毒用户的上网行为信息,有可能会上传隐私信息;
2.重装系统,格式化硬盘也无效。
魔影病毒如何防御,魔影病毒专杀下载
据金山网络云安全中心的统计数据显示,魔影病毒感染量并未在国内出现大爆发。金山网络安全专
家判断该病毒短期内不会出现大规模爆发,而且安装金山毒霸的用户勿须惊慌。同时,金山网络安全中
心将密切关注该病毒的动态,根据病毒感染量的具体情况,适时推出魔影病毒专杀,以帮助那些没有安
装金山毒霸的网民清除病毒。
只要正常开启金山毒霸,魔影病毒就无法感染电脑。
注意:如果电脑频繁出现浏览器首页被篡改、桌面广告图标删不掉等中毒症状,不一定是感染魔影
病毒,如果您是xp操作系统,出现重装系统后反复杀毒还无效,可能中的是鬼影病毒,建议立即下载专
杀。
========
TDSS(魔影)病毒浅析及手杀方案
摘要:TDSS又称为魔影病毒,听到这个名字是不是联想到鬼影了?不错,虽然两者出现时间不同,但病
毒思路是相似的,只不过TDSS相对于鬼影做了技术上的优化,是鬼影病毒的升级版。
TDSS又称为魔影病毒,听到这个名字是不是联想到鬼影了?不错,虽然两者出现时间不同,但病毒思路
是相似的,只不过TDSS相对于鬼影做了技术上的优化,是鬼影病毒的升级版。
TDSS和鬼影病毒都会通过修改MBR代码,在实模式下挂接BIOS磁盘读写中断(INT 13h)函数获取执行权
限,但挂钩位置有所不同。鬼影是直接在INT 13h中过滤系统加载模块的特征位置挂钩,而TDSS是用病毒
文件替换系统文件载入内存,不会对内核任何代码进行INLINE HOOK操作,也没有修改内核公开结构,因
此达到了完美的隐藏,一般的ARK工具很难检测到它。
不管是TDSS还是鬼影,它们采用的都是一个技术——Bootkit,也就是更高级的Rootkit。这个概念最早
于2005年被eEye Digital公司在他们的“BootRoot”项目中提及,该项目通过感染MBR的方式,实现绕过
内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以
称之为Bootkit。病毒作者就是利用了这一技术给国内外安全厂商制造了一个不小的难题。病毒作者具有
高超的编程和逆向分析能力,笔者不才,希望能从大体逻辑架构上对该病毒做个梳理,让大家简单了解
下该病毒的加载过程和巧妙之处。
TDSS病毒案例分析
本例中的TDSS有以下组成部分:bckfg.tmp、cfg.ini、cmd.dll、cmd64.dll、drv32、drv64、ldr16、
ldr32、ldr64和mbr。这些文件加密存放于磁盘末尾的一个空间中,独立于Windows的文件系统,病毒自
己实现文件系统来解析和读写这些文件。上述文件名包含32和64,可以看出,TDSS不仅可以感染32位系
统,连64位的系统也被拿下了,这也是它强过鬼影的一个方面。
A. 病毒母体运行后会释放一个随机数命名的tmp文件,它实际上是一个驱动,利用打印管理库函数
winspool.drv让自己加载起来,取得处理磁盘请求的最底层设备,获取磁盘容量,写入MBR,建立起自己
的文件系统。
B. 重启电脑时,病毒开始进一步加载,病毒写入的MBR中包含ldr16,会搜索将其加载至内存,然后转交
控制权。
C. ldr16加载后挂钩BIOS的INT 13h中断,获得保护模式下的执行权,根据系统位数(32位或64位)寻找
ldr32或ldr64,在内存中替换原始的系统文件kdcom.dll并加载。
除此之外,ldr16钩子还会修改BCD(Boot Configuration Data,引导配置数据),进而绕过Windows系
统的核心驱动签名验证策略,有效地避免了系统的自身检查,达到成功加载的目的。
D. 调用KdDebuggerInitialize1函数,帮助rootkit完成初始化。根据系统位数(32位或64位)搜索
drv32或drv64,读取该驱动并加载到内存,设置挂钩,劫持DISK下层设备,隐藏自身数据,启动监视进
程,反复感染MBR,达到自我保护的目的。
E. 根据cfg.ini配置文件,将cmd.dll代码注入指定进程。
TDSS病毒手工处理方法
从上面分析过程可以看出,TDSS的所有动作都是从MBR开始执行,所以要想解决这个病毒,就得对症下药
,从MBR着手处理。
1) 删除未知模块的系统回调。
图1:删除系统回调
2) 恢复病毒对SCSI的所有挂钩。
图2:恢复SCSI HOOK
3) 在内核钩子—DISK选项卡中恢复下层设备劫持。
图3:恢复下层设备劫持
4) 进入内核—工作线程队列,暂停病毒线程。这是最关键的一步,如果这个线程没有停下来,接下来
的重置MBR就是徒劳,因为它会不断监视并改写MBR。
图4:暂停病毒监视线程
5) 用XueTr替换原先备份好的未感染的MBR。
图5:重置被病毒改写的MBR
6) 上面步骤完成后,重启系统,再用XueTr检查一遍,之前的异常项都不见了。至此,算是把TDSS赶出
系统了。可能有人会问,那之前病毒加密存放在磁盘尾部的那些文件怎么办?会不会“复活”再次感染
系统呢?其实大可放心,只要MBR恢复了,那些病毒代码就成了死物,不会对系统构成威胁。如果实在不
放心的话,可以手工清除那些病毒代码,方法就是将病毒代码所在扇区填0。用Sector Editor打开磁盘
,跳转到最后一个扇区,然后逐个往前,找到所有被写入病毒代码的扇区,选中后用16进制数00填充。
图6:用Sector Editor把病毒写入的扇区填0
注意:填充扇区操作需谨慎,首先要查看硬盘是否存在重映射扇区。当硬盘检测到坏的扇区时,会将这
些坏的扇区重映射到备用扇区,以维持硬盘正常运行,所以重映射扇区与病毒写入的备用扇区可能会混
杂在一起,随便填充的话会造成系统无法启动,那就得不偿失了,所以此方法仅适用于备用扇区尚未使
用的情况下。
目前TDSS病毒家族已经进化发展了四代,TDL-4是第四代,也是最“优秀”的一代,它很好地迎合了64位
平台的需求,病毒的各个模块分工明确、逻辑清晰、设计巧妙,可以说是目前最有技术含量的一类病毒
。这对于杀毒软件厂商来说是一个很大的挑战,需要提供64位平台下有效的反Rootkit方案。当然,如果
能从全局考虑,提高杀毒软件的综合监控能力,在病毒获得执行机会之前就将其扼杀在摇篮中就更好了
。
========
总结
- 上一篇: iOS之WebView的使用总结
- 下一篇: 图解首次使用流光5.0