欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析

来源:本站整理 作者:佚名 时间:2017-07-18 TAG: 我要投稿

顽固性木马病毒有感染MBR(磁盘主引导记录)的,有感染VBR(卷引导记录)的,还有用驱动对抗安全软件的,最近则出现了一种连环感染MBR和VBR的新型木马,我们将其命名为“双枪”木马。
1)摘要
“双枪”木马的感染迹象是浏览器主页被篡改为带有“18299-9999”编号的网址导航站,它的主要特点是采用三重循环保护模式,使其具备了相比“鬼影”、“暗云”等MBR木马更强的自我保护能力。
(1)滴水不漏的三重循环保护模式:
“双枪”木马首先感染MBR,MBR加载执行后会进一步感染VBR,VBR启动后会释放一个驱动并从网上下载改首页的木马驱动,而这个驱动将进一步检测MBR的状态,如果MBR被修复或未感染成功则回写MBR重复感染。MBR、VBR和恶意驱动的循环感染形成了木马的三重保护机制,只要有一个没被彻底清除,都可能导致木马原地复活。
(2)疯狂对抗杀软的恶意驱动:
被感染的VBR会释放并下载恶意驱动,这个驱动除了判断系统进程,更改并锁定中招电脑所有浏览器的主页外,还具备极强的木马保护功能,与杀软展开强有力的对抗。比如,它启动后就把驱动名指向加白驱动名,以此躲避杀软;它会保护MBR挂钩磁盘底层设备,对抗杀软的修复;它会篡改NTFS文件系统的驱动对象派遣函数,并开系统线程保证NTFS上的挂钩不被修复,以免正常进程删除它的木马文件;同时,由于该驱动会抢先启动,也使其的清除难度变得更高。
以下是从WindowsNt系统加载前 (BootKit) 和系统加载后(RootKit)两部分对木马的执行流程进行详细分析。
2)NT系统加载前
2.1 MBR执行部分
该部分主要为将自身代码拷贝到 1FE0:7C00处执行。

然后判断第一个分区是否为活动引导分区

是活动分区读取VBR前面两个扇区,判断下引导分区是否为NTFS分区操作系统引导文件是BootMgr 或者是Ntldr。

接下来读取后续的0xf个扇区

将当前系统的BPB系统更新至恶意代码中同时将恶意代码刷回VBR。

紧接系统读取VBR 控制权转交给VBR部分

2.2 VBR 执行部分
然后执行VBR 代码部分

再次检查系统文件格式, 检查系统是否支持扩展Int13h。

后续将读取从VBR开始16个扇区到 0x7e00 缓冲区。

随后一个JMP指令被木马修改跳转到恶意代码执行。

恶意代码执行

为恶意代码执行分配空间

跳转

将4ce * 2 =99c大小的恶意代码解密到刚刚开辟的高端地址执行。

然后跳转到刚刚解密的高端地址执行
解密系统原始VBR部分。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载