标题:
降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
[打印本页]
作者:
点饭的百度空间
时间:
2010-3-19 15:05
标题:
降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
飓风!=鬼影。鬼影360上个月抓获后已经更新了防御做了版本在测试,前两天已经发布了,现在可完美防御鬼影
这个鬼影病毒,通过特殊方式加载驱动,目前所有的HIPS、杀软、主动防御中,只有360安全卫士才能拦截这种驱动的加载,所以用hips只能捕获到驱动安装事件,无法捕获驱动加载事件。
另外这个样本会使用大量山寨攻击技术,试图恢复SSDT,加载驱动,包括:
1.ZwSystemDebugControl
2.BaseNameObject法杀卡巴
3.duplicate handle法杀360(N年前已无效)
4.dmusic法穿驱动防火墙
5.HIVE还原过注册表保护(对360无效)
6.站坑法阻止360查杀启动(N年前已无效)
等等
然后通过驱动程序感染MBR,感染部分是从国外的EEYE BOOTKIT开源项目修改的,加载后挂钩Ntldr的BlLoadBootDrivers下一行地方,从而得到执行机会,执行后挂钩ntoskrnl,并加载自己的SYS驱动,驱动再进行复活动作~
从样本来看,这个病毒的MBR感染已经同安全软件做过一些对抗了,例如在MBR代码中:
seg000:0025 mov si, 533h ; <suspicious>
seg000:0028 xor si, 120h
seg000:002C lodsw
seg000:002D sub si, 2
注意前面两行,这里实际是等同于
mov si , 413h
即是将系统可用内存(通过是1MB) -2 ,预留空间来保存自己的挂钩代码
这里用异或方式计算出413H,很明显是免杀痕迹。
可想此病毒在未来还会继续变形、免杀,使用新的BYPASS技术、同安全软件对抗
“鬼影”病毒向安全厂商下战书 360最新版可全面拦截
来源:360安全中心 发布日期:2010-03-18
近日,网上有黑客大肆发布一款名为“鬼影”病毒的宣传广告,号称可以破坏所有安全软件。网民电脑中招后,无论格式化硬盘还是重装系统,“鬼影”都能复活。为保护用户免受这一新型病毒的侵害,360安全卫士最新版(版本号:7.0.0.1007)紧急升级了主动防御功能,可以完全拦截“鬼影”病毒的攻击。
在网上流传的“鬼影”(又名“飓风穿还原下载者”)技术资料中,黑客宣称采用了国外黑帽子黑客大会内部公布的Rootkit技术代码,能实现木马黑市上前所未有的另类复活技术MBR感染(系统引导区感染),能够通杀包括卡巴斯基、瑞星、江民、NOD32、金山以及360安全卫士在内的所有主流安全软件,并专门对360发下战书!
“鬼影”技术资料写到:“目前可以破坏360安全卫士、360杀毒、江民的下载者几乎少之又少,‘鬼影’则能通杀市面上已知的所有主流杀毒软件,并使用系统漏洞加载驱动,均可在任何杀软下无提示下运行”,并且能够做到“无文件、无进程、无DLL的超级隐藏”。
面对黑客发出的挑战,360安全中心经过分析验证后发现,“鬼影”之所以如此猖獗,是由于它能够感染MBR(系统引导区)来获取系统控制权。“电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件,由于这个空间是隐藏的,杀毒软件无法对此进行扫描,从而给‘鬼影’留下了复活的空间。然而‘鬼影’并不是无所不能,360安全卫士的‘主动防御’恰恰就是‘鬼影’的克星。”360安全专家石晓虹博士解释说。
据石晓虹介绍,360安全卫士最新版本已经专门为“鬼影”对症下药,在“主动防御”功能中增加了防范“鬼影”感染MBR的拦截规则,相当于废掉了它最厉害的杀手锏。此外,360能够全方位封堵“鬼影”的传播途径,让它无法利用挂马网页、U盘、局域网ARP攻击等方式进行传播,把360用户电脑感染“鬼影”病毒的风险降到最低。
石晓虹告诉网民,“鬼影”最典型的中招特征是安全软件无法正常运行,并可能伴有浏览器首页被改等现象。出现此类情况的用户,应及时下载使用最新版本的360安全卫士产品(
下载地址
:
http://dl.360safe.com/instbeta.exe
),或访问360官网向安全厂商求助。(360求助中心网址:
http://help.360.cn
)
作者:
fufuji97
时间:
2010-3-20 14:45
都是马后炮,用影子就可以无视这个鬼影
作者:
fufuji97
时间:
2010-3-20 14:49
另外,楼主你这贴子,
http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1
你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透影子最新版的根据是什么?是哪个影子的最近版?你知道有多少影子软件吗?
作者:
niels
时间:
2010-3-20 15:16
Quote:
Originally posted by
fufuji97
at 2010-3-20 14:49:
另外,楼主你这贴子,
http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1
你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透 ...
哈哈,见到老哥了。
纯忽悠,Shadow Defender 325,实测,没穿
[
Last edited by niels on 2010-3-20 at 15:17
]
作者:
f8312519
时间:
2010-3-20 20:32
就个360还能防
唉
看不惯360
作者:
xie52165
时间:
2010-3-23 12:06
就是360都能防御,搞笑吧
作者:
yeahyeah
时间:
2010-3-23 13:10
都是马后炮
作者:
zzz@zzz
时间:
2010-4-6 00:15
给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。
附件 1:
cmd.png
(2010-4-6 00:15, 12.81 K,下载次数: 50)
作者:
点饭的百度空间
时间:
2010-4-6 19:59
Quote:
Originally posted by
zzz@zzz
at 2010-4-6 00:15:
给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。
没找到:(
作者:
wz6013
时间:
2010-4-14 14:25
仅用
瑞星杀毒软件
即可解决一切
作者:
一键还缘
时间:
2010-4-21 03:56
Quote:
Originally posted by
wz6013
at 2010-4-14 14:25:
仅用
瑞星杀毒软件
即可解决一切
垃圾瑞X 还需要专杀软件, 别丢人了。 :D
作者:
5anba
时间:
2010-4-21 22:10
Quote:
Originally posted by
一键还缘
at 2010-4-21 03:56:
垃圾瑞X 还需要专杀软件, 别丢人了。 :D
慢慢品味10#兄弟,说得很有道理!
一定要支持rs!
作者:
fzqs
时间:
2010-11-7 04:57
看到资料说 格式化硬盘都不管用.请问这个格式化是什么格式化?
我用电脑比较早 但是只用来打游戏和看电影.
99年的时候我C300A+4.3G硬盘+32MB内存+巫毒女妖卡时代的时候曾经硬盘出现大问题 当时使用低级格式化 用时2天多时间.
我记得低级格式化是相当于回复到出厂设置.重写每个分区(貌似是这样不太记得清楚)
难道低级格式化也不能让所谓的影子病毒消失?
哪位DD出来权威一下.
作者:
littlefritz
时间:
2010-11-8 01:27
低级格式化可以清除。但防比杀重要多了。如微点的主防能防御这类病毒,而微点和瑞星的专杀,也是清除这个病毒的良好工具。另外想澄清一点的是,推出专杀未必是自己本身的杀毒软件无能为力,而是会大大方便受感染的用户快速智能地解决问题。
作者:
495253566
时间:
2010-11-8 16:50
枪手。。。。。。。。。。
作者:
aolijun
时间:
2011-5-6 20:00
*****,fdisk /mbr就专杀了,主要是怎么去防
[
Last edited by Legend on 2011-5-9 at 10:55
]
作者:
bulesky
时间:
2011-5-9 10:30
可恶。*******。只要中了MBR病毒后。怎么做也是无事无补。我就是深受其害。现在也是。将来也是。呜呜。。求解
[
Last edited by Legend on 2011-5-9 at 10:48
]
作者:
Legend
时间:
2011-5-9 10:52
Quote:
Originally posted by
bulesky
at 2011-5-9 10:30:
可恶。*******。只要中了MBR病毒后。怎么做也是无事无补。我就是深受其害。现在也是。将来也是。呜呜。。求解
[
Last edited by Legend on 2011-5-9 at 10:48
]
请问您是否有具体的样本文件 请您将样本文件发送到
virus@micropoint.com.cn
邮箱 我们具体分析下 同时您也可以联系我们的管理员qq466248167 383154254 发送下
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn