首页
社区
课程
招聘
病毒分析:“伪熊猫烧香”病毒
发表于: 2015-5-31 15:51 1022

病毒分析:“伪熊猫烧香”病毒

2015-5-31 15:51
1022
近日,腾讯反病毒实验室接到用户反馈电脑中了“熊猫烧香”病毒,致使电脑无法正常使用。用户描述有尝试从网上下载相关安全厂商的“熊猫烧香”专杀工具进行查杀,但是依然无效。难道“熊猫烧香”又重出江湖,以更加恶劣的形式在互联网传播并危害用户?

取得病毒样本后,腾讯反病毒工程师深入分析发现,实为是伪装成“熊猫烧香”的一款内核级恶意对抗安全软件的病毒。

一、木马行为:

文件母体会通过删除、修改注册表键值等方式使系统无法进入安全模式,禁用任务管理器、右键;建立文件关联,使PE文件图标关联为“熊猫烧香”的图标;创建驱动,加载驱动;添加自身开机启动;遍历进程,与驱动LianXue_SuperKill.sys、jinhu.sys建立通信,调用ZwTerminateProcess等函数、插入APC与PspExitThread等方式结束进程。

二、详细分析:

1、 母体分析

1) 通过修改注册表的方式,将自己添加开机启动

2)在C盘释放关联图标文件17mt.ico,并通过修改注册表的方式,将exe、zip、rar、ghost等诸多文件关联到C:\17mt.ico,导致文件均为熊猫烧香的图标

3) 通过删除安全模式的相关注册表,导致无法进入安全模式进行修复

4) 删除修改注册表键值,禁用鼠标右键和任务管理器

5)通过三个CreateFile函数,分别创建Hook.dll、KillFill.sys和LianXue_SuperKill.sys

6)遍历应用层进程,查找进程遍历列表中的进程

应用层进程列表,并按照顺序和应用层遍历出来的进程进行比较,比较应用层进程列表中的进程是否在该表中

7)通过DeviceIoControl函数与驱动LianXue_SuperKill.sys建立通信,结束安全软件的进程

2、结束安全软件驱动分析:

样本在驱动层采取了两种方法结束安全软件:

第一种:作业方式终止;

第二种:插入APC与PspExitThread

1)LianXue_SuperKill.sys分析

Lianxue_SuperKill.sys加载后,母体文件会调用DeleteFileA函数将其删除

添加到服务

和母体文件通信,结束相关的安全软件进程

作业方式终止 :

在LianXue_SuperKill.sys里面调用:ZwOpenProcess->ZwCreateJobObject->ZwAssignProcessToJobObject->ZwTerminateJobObject

2)jinhu.sys分析

插入APC与PspExitThread

2.1 在jinhu.sys里面主要使用方法:

a.特征码搜索未导出内核函数:PspExitThread;

调用 KeInsertQueueApc插入一个APC,进而调用PspExitThread

2.2特征码搜索未导出内核函数PspExitThread:

三、总结:

样本通过释放驱动的方式,和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏,导致系统无法正常使用;另一方面通过和驱动的组合方式,和安全软件进行恶意对抗,结束众多安全软件进程。腾讯电脑管家目前已能够有效查杀该病毒以及其变种。

原文地址:http://tieba.baidu.com/p/3349030112

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//