日本电子维修技术 今天遇到的流氓木马下载器：寄宿虫 恶心我一

{:soso_e127:}今天给一个客户的一体机做系统，安装后怎么安装各种杀毒软件都是打开一瞬间就被关闭，重做好几次，换各个版本的系统都无效。终于安装上金山卫士，查杀出几个病毒木马下载器。重启winlogin进程报错，再启动系统瘫痪。从网上得知这是感染一个叫寄宿虫的病毒造成的。下面是江民对该病毒的分析：
病毒描述

病毒名称    :  Win32/PatchFile.kr
文件MD5     :  d12838c04be40c0f9459cc5f182fadb2
文件大小    :  20,640 字节
编写环境    :  VC++6.0
是否加壳    :  否


文档公开级别 ： 完全公开



病毒执行体描述：

    此样本为Dll(动态链接库)文件, 劫持系统文件sfc_os.dll来达到自身加载的目的,sfc_os.dll会由Winlogin.exe或Svchost.exe 加载。
    执行过程中会检测在哪个进程中执行,如果执行的权限较高则进入释放驱动到系统目录下,驱动的功能有劫持国内主流杀软的进程创建,读取改写磁盘MBR,以便开机后有优先权限早于杀毒软件加载,来禁止杀软运行。
    检测当前系统中不存在杀毒软件了,会进行其他病毒的下载，探测固定的域名看是否可以上网,网络畅通就进入下载流程。

病毒行为流程分析:

一．病毒运行后首先获取操作系统版本号,取得系统版本,如果是xp系统,则对系统目录下 "sfc_os.dll"进行劫持。并将自身复制到系统目录下覆盖"sfc_os.dll",此Dll(动态链接库)由Winlogin.exe 或Svchost.exe进程加载, 病毒在劫持运行之初就已有系统操作用户层高权限。


二．创建两个主要工作线程，
第一个工作线程：主要来检测当前系统中安装了哪些杀毒软件，如果当前系统中存在的进程与病毒所针对的杀软名称相同，则对进程名称进行记录。然后检测病毒所加载的进程权限，低权限则进行提权操作（使操作系统文件不会失败）。
第二个工作线程： 释放本身的资源文件到系统目录下 名称为XXXX.sys(XXX为随机名称), 开始驱动加载并运行的操作。获取当前系统内核的加载文件, 加载到当前进程的内存中, 然后获得
MmGetSystemRoutineAddress , KeInsertQueueApc, PsTerminateSystemThread.并每个函数取八个字节保存,传入驱动中检测函数是否被Hook.
创建两个子工作线程,
第一个工作线程的任务就是监视当前系统中所有的进程,遇到列表中的进程时，将进程PID（识别号）传入内核驱动，由驱动结束该进程并阻止继续创建。
第二个工作线程的任务是读取当前系统的MBR,获取当前的主次分区表结构，对MBR进行劫持，以达到每次开机系统驱动加载的顺序总优先于杀毒软件驱动加载，以达到阻止杀软(进程列表下图)启动的目的。
线程执行完毕后跳转到主函数模块流程继续执行下载文件操作，下载病毒至本地系统临时文件夹中，并运行。
流程为: 检测当前网络是否通畅，检测baidu.com(这个域名不会出问题),通畅后连接
http://xcode.66jiji.com/down/11.exe 下载至本地运行。
进程中加载的sfc_os.dll(劫持Dll)模块流程完成。

     
登录/注册后看高清大图
     
登录/注册后看高清大图

以上为病毒阻止运行的杀软进程列表。


释放的文件:

%SystemRoot%System32DriversXXXXX.sys (根据当前随机值决定)
//杀软控制以及MBR写入的文件.
%Temp%temp.tmp //为Dll执行最后下载病毒文件。   
   

病毒技术要点

病毒对系统对自身避免杀毒查杀上做了很多规避,利用修改MBR达到病毒无文件自启动，对系统的支持性和容错方面做了一些判断，程序第一次运行和重启以后运行的流程完全不一样。
但是达到一个完整的效果，就是下载木马病毒。第一次的运行在对MBR写入后,在相应修改MBR位置所对应的区域也是自己存放原始MBR以及启动数据代码Hook相关的操作。
会检测系统中相关重要函数的是否hook,对hook的函数进行恢复hook,仅仅检测前八字节而已。


病毒清理流程

1. 病毒sfc_os.dll每次被加载后都检测MBR是否被修复,如果被修复重复刷入.
2．在保证病毒体不被运行的情况下,可以修复MBR分区表,当MBR恢复以后程序自身不会被加载到。
3．对加载的系统驱动进行卸载,再恢复MBR之前Winlogin.exe或Svchost.exe必须卸载sfc_os.dll模块。
4．样本对BIOS未做修改，可直接使用重建系统引导区来进行修复。
修复后安装江民杀毒进行系统全面的杀毒，以防遗漏。


Fdisk/MBR修复法
用启动盘启动电脑，在命令提示符下输入“Fdisk/mbr”命令，再按“Enter”键即可进行修复。
用Fdisk/mbr命令修复 MBR的方法只适用于主引导区记录被引导区型病毒破坏或主引导记录代码丢失，且主分区没有损坏的情况。因为此方法只是覆盖主引导区记录的代码，不能重建主分区表。
启动 DOS并输入“C：” ，按“Enter”键，如果可以读取C盘数据就能用Fdisk/MBR命令恢复MBR，且能保留原有数据；否则不能用Fdisk/MBR命令恢复MBR。

有了这个解决问题就很简单了，进PE重建MBR，格式化硬盘安装系统。重启进系统安装杀软搞定。


评论
这个帖子不错，大家快来顶起来！

评论
这个病毒主要的危害在哪啊。

评论
会不会盗取我们的游戏账号什么的

评论

不进行查杀的话重做了系统上网还是会下载很多木马回来，杀软安装都会被干掉。然后各种毛病就来了。

评论
这种病毒为什么会上网就下载病毒？我说重做系统之后

评论
它能修改MBR的话，估计只要进入PE系统，它都会自动工作 电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
 ·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 ｛日本国际学校｝梅田インターナショナルスクール
·日本学校 LINE：sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場　一時1ドル＝140円台まで上昇？
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
 ·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办？