-
-
[翻译]ZeroAccess分析
-
2011-9-24 18:37
-
序言:
当写到关于ZeroAccess rootkit的文章时, 这让我们想起当这个rootkit在互联网被发现的时间必须得追溯到2009年。那个时候,MBR rootkit 和TDL2 rootkit肆虐横行, 其中第二个主要的版本是当时互联网中最先进的内核级rootkit——直到安全研究人员偶然发现一种新的未知的rootkit,它能够很快地杀死大多数设法扫描系统中特定的文件夹的安全软件。ZeroAccess创建一个新的内核设备对象称为__max+>,这就是这个rootkit迅速在安全领域中被熟知,并被称为MAX ++ rootkit的原因,当然还因为在ZeroAccess内核驱动程序代码中发现了一个字符串,指向名为ZeroAccess的原始项目文件夹 (f:\VC5\release\ZeroAccess.pdb)。
这个rootkit把它的代码存在两个备用数据流win32k.sys:1 和win32k.sys:2中。为了避免被检测到,这个rootkit能够杀死每一个试图扫描备用数据流的安全软件。它在系统文件夹中创建一些假的交接点(注:NTFS交接点,是NTFS文件系统的特性,允许一个文件夹被链接到另一个本地的文件夹,这样目标文件夹就有了一个别名)指向之前写的假的rootkit设备。当安全软件试图扫描那些存储备用数据流的特定文件夹时,这个rootkit的自我保护机制在安全进程中安排一个工作队列立刻杀死安全软件。至此,扫描系统而不被rootkit杀死成为一项艰巨的任务。
从那时起,ZeroAccess rootkit就开始不断进化,不断改变它感染系统的方式,变得更为先进和更为危险。在本文中,我们要分析这一威胁,以及它如何演变到目前的版本。
第一次翻译,如有翻译不当之处谢谢指正
。
原文链接:http://www.prevxresearch.com/zeroaccess_analysis.pdf
当写到关于ZeroAccess rootkit的文章时, 这让我们想起当这个rootkit在互联网被发现的时间必须得追溯到2009年。那个时候,MBR rootkit 和TDL2 rootkit肆虐横行, 其中第二个主要的版本是当时互联网中最先进的内核级rootkit——直到安全研究人员偶然发现一种新的未知的rootkit,它能够很快地杀死大多数设法扫描系统中特定的文件夹的安全软件。ZeroAccess创建一个新的内核设备对象称为__max+>,这就是这个rootkit迅速在安全领域中被熟知,并被称为MAX ++ rootkit的原因,当然还因为在ZeroAccess内核驱动程序代码中发现了一个字符串,指向名为ZeroAccess的原始项目文件夹 (f:\VC5\release\ZeroAccess.pdb)。
这个rootkit把它的代码存在两个备用数据流win32k.sys:1 和win32k.sys:2中。为了避免被检测到,这个rootkit能够杀死每一个试图扫描备用数据流的安全软件。它在系统文件夹中创建一些假的交接点(注:NTFS交接点,是NTFS文件系统的特性,允许一个文件夹被链接到另一个本地的文件夹,这样目标文件夹就有了一个别名)指向之前写的假的rootkit设备。当安全软件试图扫描那些存储备用数据流的特定文件夹时,这个rootkit的自我保护机制在安全进程中安排一个工作队列立刻杀死安全软件。至此,扫描系统而不被rootkit杀死成为一项艰巨的任务。
从那时起,ZeroAccess rootkit就开始不断进化,不断改变它感染系统的方式,变得更为先进和更为危险。在本文中,我们要分析这一威胁,以及它如何演变到目前的版本。
第一次翻译,如有翻译不当之处谢谢指正
。原文链接:http://www.prevxresearch.com/zeroaccess_analysis.pdf
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
若有空的话,把下面这套zeroaccess逆向分析文章也翻译下
 :http://packetstormsecurity.org/news/view/18174/Reverse-Engineering-ZeroAccess-Crimeware.html |
|
|
yes sir
 ,不过得过几天
|
