近日，腾讯反病毒实验室接到用户反馈电脑中了“熊猫烧香”病毒，致使电脑无法正常使用。用户描述有尝试从网上下载相关安全厂商的“熊猫烧香”专杀工具进行查杀，但是依然无效。难道“熊猫烧香”又重出江湖，以更加恶劣的形式在互联网传播并危害用户？

取得病毒样本后，腾讯反病毒工程师深入分析发现，实为是伪装成“熊猫烧香”的一款内核级恶意对抗安全软件的病毒。

一、木马行为：

文件母体会通过删除、修改注册表键值等方式使系统无法进入安全模式，禁用任务管理器、右键；建立文件关联，使PE文件图标关联为“熊猫烧香”的图标；创建驱动，加载驱动；添加自身开机启动；遍历进程，与驱动LianXue_SuperKill.sys、jinhu.sys建立通信，调用ZwTerminateProcess等函数、插入APC与PspExitThread等方式结束进程。

二、详细分析：

1、 母体分析

1） 通过修改注册表的方式，将自己添加开机启动

2）在C盘释放关联图标文件17mt.ico，并通过修改注册表的方式，将exe、zip、rar、ghost等诸多文件关联到C:\17mt.ico，导致文件均为熊猫烧香的图标

3） 通过删除安全模式的相关注册表，导致无法进入安全模式进行修复

4） 删除修改注册表键值，禁用鼠标右键和任务管理器

5）通过三个CreateFile函数，分别创建Hook.dll、KillFill.sys和LianXue_SuperKill.sys

6）遍历应用层进程，查找进程遍历列表中的进程

应用层进程列表，并按照顺序和应用层遍历出来的进程进行比较，比较应用层进程列表中的进程是否在该表中

7)通过DeviceIoControl函数与驱动LianXue_SuperKill.sys建立通信，结束安全软件的进程

2、结束安全软件驱动分析：

样本在驱动层采取了两种方法结束安全软件：

第一种：作业方式终止；

第二种:插入APC与PspExitThread

1）LianXue_SuperKill.sys分析

Lianxue_SuperKill.sys加载后，母体文件会调用DeleteFileA函数将其删除

添加到服务

和母体文件通信，结束相关的安全软件进程

作业方式终止 :

在LianXue_SuperKill.sys里面调用：ZwOpenProcess->ZwCreateJobObject->ZwAssignProcessToJobObject->ZwTerminateJobObject

2）jinhu.sys分析

插入APC与PspExitThread

2.1 在jinhu.sys里面主要使用方法：

a.特征码搜索未导出内核函数：PspExitThread；

调用 KeInsertQueueApc插入一个APC，进而调用PspExitThread

2.2特征码搜索未导出内核函数PspExitThread：

三、总结：

样本通过释放驱动的方式，和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏，导致系统无法正常使用；另一方面通过和驱动的组合方式，和安全软件进行恶意对抗，结束众多安全软件进程。腾讯电脑管家目前已能够有效查杀该病毒以及其变种。

原文地址：http://tieba.baidu.com/p/3349030112

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课