木马下载器病毒行为分析及手动处理技巧

楼主^#

更多发布于：2013-01-03 19:27

[] 1


	木马下载器病毒，顾名思义是感染后会在后台偷偷下载木马的一类病毒，并且其不断下载的木马种类繁多，破坏行为也多种多样，这就会给用户的系统安全和虚拟财产带来无法估计的威胁。此类病毒变种较多，危害较大，本文则针对性的选取其中一种做分析介绍。本篇介绍的木马下载器病毒特点是伪装成输入法文件，注入系统进程达到自动加载的目的，并且攻击安全软件。由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件，所以该病毒可以不费吹灰之力让大部分安全软件加载病毒，从而实现“自杀”的效果。此类木马主要通过钓鱼网站传播，当用户登录挂马网站时该病毒会自动下载到用户电脑并执行，给用户的网络财产安全带来巨大危险。病毒行为分析 a. 遍历进程查找如下进程：avp.exe，kswebshield.exe，kav32.exe，Mctray.exe，Rtvscan.exe，mcshield.exe，如果找到则不断释放其内存，直至其进程崩溃退出为止。 b. 在系统文件夹下创建一个模仿标准的输入法文件格式写的winagi.ime文件。winagi.ime文件通知系统加载该输入法，函数查找窗口以及其子窗口，使得对应进程加载该输入法文件，由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件，因此这时候该输入法文件就会大量的“注入”到这些进程中，这些进程就成为了病毒的傀儡。 c. 创建一个线程，每隔8秒，创建一次针对如下进程的映像劫持项：360rpt.EXE，SuperKiller.EXE，360sd.EXE，arpfw.EXE，krnl360svc.EXE，360safe.EXE，360tray.EXE，360safebox.EXE，safeboxTray.EXE，AvMonitor.EXE，Ravservice.EXE，RAVTRAY.EXE，RavMon.EXE，IceSword.EXE，Iparmor.EXE，KVWSC.EXE，RavTask.EXE，KVMonxp.KXP，KVSrvXP.EXE，Navapsvc.EXE，Nod32kui.EXE，ekrn.EXE，egui.EXE，KRegEx.EXE，Frameworkservice.EXE，Mmsk.EXE，Ast.EXE，WOPTILITIES.EXE，Regedit.EXE，VPC32.EXE，VPTRAY.EXE，ANTIARP.EXE，RAV.EXE，KASARP.EXE，kwatch.EXE，kavstart.EXE，KAVPFW.EXE，Runiep.EXE，GuardField.EXE，GFUpd.EXE，Rfwstub.EXE，rfwmain.EXE，RavStub.EXE，ScanFrm.EXE，RsAgent.EXE，Rsaupd.EXE，rfwProxy.EXE，rfwsrv.EXE，SREngLdr.EXE，ArSwp.EXE，TrojanDetector.EXE，Trojanwall.EXE，TrojDie.KXP，PFW.EXE，HijackThis.EXE，AutoRun.EXE，KpfwSvc.EXE，kissvc.EXE，kav32.EXE，VsTskMgr.EXE，naPrdMgr.EXE，ccEvtMgr.EXE，mcshield.EXE，KSWebShield.EXE。 d. 创建一个线程，下载某特定网址的病毒下载列表到%windir%\Fonts\sybs.ini，读取并解密该下载列表，根据下载列表的内容下载病毒到临时文件夹并执行，下载病毒的操作每隔60秒循环一次。病毒现象 1）杀毒软件及一些安全检测工具无法正常运行，相关进程被映像劫持。图片：20130101073407699.png 图1：病毒创建多个针对安全软件的映像劫持项 2）系统多个进程被加载winagi.ime文件，该文件位于C:\WINDOWS\system32目录下，带有数字签名，十分具有迷惑性。图片：20130101073408753.png 图2：病毒创建伪输入法文件winagi.ime并自动加载手动处理方法 1）删除病毒创建的winagi.ime文件，并勾选“删除后阻止文件再生”。图片：20130101073408568.png 图3：用XueTr删除winagi.ime文件 2）使用瑞星安全助手删除映像劫持项，修复系统。图片：20130101073412562.png 图4：使用瑞星安全助手删除映像劫持项上述操作完成后重启电脑病毒就不复存在了，处理过程很简单，难度在于意识到winagi.ime是病毒伪装的输入法文件，若这个文件不清除，安全软件会不断被映像劫持，后台病毒则不断下载。上面所说的映像劫持是很多病毒都会用到的技术，映像劫持全称为ImageFile ExecutionOptions（IFEO），它是位于注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下的一些键值。在WINDOWSNT架构的系统中，通过这个注册表项可以控制和调试程序，也就是把要执行的程序定向到另一个映像，即映像劫持。当系统中有新的进程产生的时候，系统会访问该注册表键，查找是不是存在与正在执行的映像文件同名的键，如果找到，则用该注册表项键值Debugger记录的映像替代掉将要执行的映像，达到劫持的目的。图片：20130101073412998.png 图5：利用Debugger参数劫持映像文件若此时将被劫持的程序改个名字会发现它又能正常运行了，这是为什么呢？因为IFEO被人为设置了针对这些流行工具的可执行文件名的列表了，而且Debugger参数指向不存在的文件甚至病毒本身，于是这些程序就被重定向了无法正常运行，而病毒就能在计算机“裸奔”的环境下为所欲为了。总结虽然这种木马处理起来并不难，不过仍有它的高明之处：利用系统特性加载自身且隐蔽性极强。此类木马的传染途径大致有以下三种： 1. 用户登录了挂马网站，该病毒会自动下载到用户电脑执行； 2. 用户运行了其他病毒，有可能再次从互联网下载该病毒并执行； 3. 用户从非正常渠道下载的软件，有可能带有该病毒。其实大多数病毒都是通过上述途径传染的，对应的预防措施也就一目了然了，希望通读完全文后读者能对此类病毒有进一步认知，以减少该病毒带来的危害