瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个可感染 WINDOWS 7 系统的鬼影病毒及手杀流程
baohe - 2011-5-31 15:21:00
此前所见“鬼影”都不能感染WINDOWS 7。今天见到的这个样本可能比较新吧,可以感染WINDOWS 7系统。


一、中毒所见:

0、用户可见的中毒现象:即使未打开IE,进程列表中仍可见N个IE进程。

1、中此毒后,SRENG日志可见下列异常:

[PID: 1968 / Lenovo][C:\Users\Lenovo\AppData\Local\Temp\ie.exe]  [N/A, ]
进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 1968, C:\USERS\LENOVO\APPDATA\LOCAL\TEMP\IE.EXE]

2、用工具查看MBR, MBR被改写为:




此外,MBR之后的0面0道约30个扇区也被此毒写入恶意代码。

3、用Xuetr可发现此病毒劫持替换内核模块文件C:\Windows\system32\DRIVERS\USBPORT.SYS

4、此毒添加下列注册表项:
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://10379.new93.com/index.htm?id=3112"

将IE主页劫持为http://10379.new93.com/index.htm?id=3112


二、手工杀毒:

1、断网。结束所有IE进程。
2、结束病毒进程Vanknc.tmp
3、删除病毒文件:

4、用工具(如BOOTICE)将MBR改写为正常

5、用工具(如SECTOREDITOR)将硬盘0面0道2至61扇区填0。

6、用金山卫士清理注册表。病毒写入的注册表内容多而杂,手工收拾比较费劲。

用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.10
天月来了 - 2011-5-31 19:56:00
还不算太困难嘛,那劫持的驱动要是反复重写所有东西就非得PE系统下了
baohe - 2011-6-1 11:02:00
说实在的,“鬼影”这东西和TDSS 根本就不能同日而语。在引导区病毒中,鬼影只能算垃圾级别。:kaka6:
奇缘の随风 - 2011-6-1 22:01:00
关注一下。
MBR之后的0面0道约30个扇区也被此毒写入恶意代码。
怎么知道病毒改写了mbr从哪到哪?
baohe - 2011-6-1 22:25:00


引用:
原帖由 奇缘の随风 于 2011-6-1 22:01:00 发表
关注一下。
MBR之后的0面0道约30个扇区也被此毒写入恶意代码。
怎么知道病毒改写了mbr从哪到哪?



粗略的判断,可以用 XueTr查看MBR是否正常。




病毒改写过的MBR:







正常的MBR:







比较详细的查看MBR,可以用BOOTICE或SECTOREDITOR等工具。


一般而言,除了预装正版系统或自己装的零售版系统外,0面0道的2-61扇区均为空(用SECTOREDITOR查看这些扇区数据————均为0)。


预装正版系统或自己装的零售版系统:0面0道的2-61扇区中,有1-3个扇区有系统或硬盘识别信息。具体在那个扇区,不同的电脑有所不同。


举例:我的电脑安装了WIN7 零售版,0面0道56扇区有硬盘识别码(见下图,黑块遮蔽部分)。


小业业 - 2011-6-3 8:55:00
猫叔,我学习了,嘻嘻……:kaka12:
:kaka1:
Luke8 - 2011-6-17 23:18:00
除了鬼影病毒,还有什么病毒会对mbr进行修改?
还有个比较。。2的问题。。
mbr被修改后会有哪些症状?
baohe - 2011-6-18 8:24:00
http://bbs.ikaka.com/showtopic-8949341.aspx

http://bbs.ikaka.com/showtopic-8953490.aspx

http://bbs.ikaka.com/showtopic-8961286.aspx
1
查看完整版本: 一个可感染 WINDOWS 7 系统的鬼影病毒及手杀流程