鬼影病毒分析報告

鬼影病毒分析報告

一、 鬼影病毒概述

這是乙個***

恢復核心鉤子、感染磁碟引導區（

mbr）、多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後，是乙個看不到可疑檔案、沒有啟動項、普通重灌系統也無法解決的頑固病毒。

二、鬼影病毒分析

1 病毒的啟動方法

感染mbr

以獲得凌駕於作業系統的啟動權

---->hook

檔案操作中斷，搜尋

ntldr

檔案（主要目標

xp,2003

系統） 進行

hook---->hook

核心函式實現優先載入驅動並執行病毒驅動

------> 圖

1，鬼影病毒感染前後，

mbr的變化。

圖2 中毒後的磁碟扇區變化示意

2. 生成部分檔案

%programfiles%\msdn\atixx.sys(工作驅動)

%programfiles%\msdn\atixi.sys(負責將其他檔案寫入引導區

) )

%programfiles%\msdn\atixx.inf(驅動安裝指令碼

%programfiles%\msdn\atixi.inf(驅動安裝指令碼)

以上檔案使用後會自刪除。

3. ring3還原各種鉤子

讀取原始kiservicetable

表 ，還原

ssdt

表，其他特定鉤子的恢復。

4. 結束卡巴斯基

(r3)

通過結束卡巴斯基事件控制代碼basenamedobjects\f953ea60-8d5f-4529-8710- 42f8ed3e8cdc

使得卡巴程序異常退出。

5. 結束其它殺軟

(r3)

獲取防毒軟體程序的公司名，進行hash

運算並跟內建殺軟的

hash

值進行比較，發現相同就結束程序。

6. 通過hive

技術繞過江民主防，使用類似硬體驅動安裝方式繞過其他主防攔截。

7. 抹掉執行緒起始位址防止被手工檢測

8. 找到explorer

（資源管理器）程序，然後插入使用者態的

apc9.

列舉程序物件，比較程序對應檔案的公司名。 發現需對抗程序則獲取執行緒物件然後結束執行緒，此時殺軟程序異常退出

10. 感染引導區，並將其它檔案寫入引導區

，隱蔽加 載難發現，反覆感染的難清除

，夢幻西遊等熱門遊戲盜號***。

ie首頁為

三 感染以後可能現象

1 電腦非常卡，操作程式有明顯的停滯感，常見防毒軟體無法正常開啟，同時發 現反覆重灌系統後問題依舊無法解決

2 系統檔案被感染防毒查殺以後提示找不到相應的

dll或者系統功能不正常

rpcss.dll，

ddraw.dll

（這個是盜號***現在常修改的 系統

dll）

3 qq號碼被盜，可被***用來傳播廣告等

4 魔獸，

dnf，天龍八部，夢幻西遊等遊戲帳號被盜

5 程序中存在

iexplore.exe

程序並指向乙個不正常的網 站

ie首 頁為

附：系統開機啟動過程示意圖（僅適用於winxp）

鬼影病毒分析報告

鬼影病毒分析報告 一 鬼影病毒概述 這是乙個 恢復核心鉤子 感染磁碟引導區 mbr 多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後，是乙個看不到可疑檔案 沒有啟動項 普通重灌系統也無法解決的頑固病毒。二 鬼影病毒分析 1 病毒的啟動方法 感染mbr 以獲得凌駕於作業系統的啟動權 hoo...

鬼影病毒處理方法

重灌系統格式化c盤，進入dos狀態，執行fdisk mbr命令，用以清除掉主引導區的病毒引導 這時候重灌系統就可以了，但是這是在完全安裝起作用的，如果你用是ghost安裝系統那麼還要多做以下幾步 1 通過ghost系統盤進入pq pm分割槽工具，一般ghost系統盤都帶的。2 右擊c盤，選擇高階 設...

發布「燈泡男」病毒分析報告

曾有朋友懷疑 燈泡男 是 熊貓燒香 作者的新作品，特徵是圖示為乙個男生頭像，眼睛象燈泡。會繼續關注這個病毒的進展。以下是分析報告 病毒名 win32.wizardboy.a.48411 威脅級別 中文名稱 神奇小子 病毒別名 病毒型別 win32病毒 病毒簡介 這是乙個感染型病毒，感染擴充套件名為....