“反病毒杀手Rootkit”病毒技术细节_安全中国

   此病毒是一个Rootkit病毒，由C语言编写的驱动程序，提供破坏杀毒软件的功能。

    1、禁止反病毒软件的运行：

    病毒调用PsSetLoadImageNotifyRoutine函数注册镜像加载的通知例程，在通知例程中，病毒首先比较加载的镜像的名称是否包含下名称：

vsdatant.sys，watchdog.sys，zclient.exe，bcfilter.sys，bcftdi.sys，bc_hassh_f.sys，
bc_ip_f.sys，bc_ngn.sys，bc_pat_f.sys，bc_prt_f.sys，bc_tdi_f.sys，filtnt.sys，
sandbox.sys，mpfirewall.sys，msssrv.exe，mcshield.exe，fsbl.exe，avz.exe，
avp.exe，avpm.exe，kav.exe，kavss.exe，kavsvc.exe，klswd.exe，ccapp.exe，
ccevtmgr.exe，ccpxysvc.exe，iao.exe，issvc.exe，rtvscan.exe，savscan.exe，bdss.exe，
bdmcon.exe，livesrv.exe，cclaw.exe，fsav32.exe，fsm32.exe，gcasserv.exe，icmon.exe，
inetupd.exe，nod32krn.exe，nod32ra.exe，pavfnsvr.exe，Windows-KB890830-V1.32.exe

    对于包含上名称的镜像，病毒检查其是否是有效的PE文件，如是则调用ZwOpenProcess、ZwTerminateProcess函数禁止其运行，以此来禁止反病毒软件、防火墙等安全软件的运行。

    2、挂接API：

    病毒通过修改cr0寄存器标志位的方法关闭写保护，然后替换KeServiceDescriptorTable中的函数地址来Hook API，并记下原函数的地址。病毒挂接了如下两个API：
ZwQueryDirectoryFile
ZwEnumerateValueKey

    3、ZwQueryDirectoryFile钩子过程：

    在这个钩子过程中，病毒调用记录的原函数地址调用ZwQueryDirectoryFile函数，然后比较得到的目录、文件名中是否包含"kernelw"字符串，如果包含将返回STATUS_NO_MORE_FILES，反之，将正常的结果返回。

    病毒通过挂钩ZwQueryDirectoryFile来隐藏包含有"kernelw"名称的目录或文件，以此来保护自己。

    4、ZwEnumerateValueKey钩子例程：

    在这个钩子过程中，病毒调用记录的原函数地址调用ZwEnumerateValueKey函数，然后比较得到的节果中的键值是否包含"kernelw"字符串，如果包含则返回错误，反之，将正常的结果返回。

    病毒通过挂钩ZwEnumerateValueKey来隐藏键值包含有"kernelw"名称键值，以此来保护自己。

    5、钩子保护线程：

    病毒通过调用PsCreateSystemThread启动一个新的线程，在这个线程中不断循环检测KeServiceDescriptorTable表中自己挂钩的ZwQueryDirectoryFile、ZwEnumerateValueKey的地址是否被改变，如被改变则再次挂接这两个函数。

    6、锁定ntoskrnl.exe文件

    病毒通过调用ZwCreateFile、NtLockFile方式锁定ntoskrnl.exe文件，以此来防止其它程序通过读取ntoskrnl.exe中的数据恢复KeServiceDescriptorTable，以此来保护自己的API钩子。

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到19.40.20版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

上一页 1 2