微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 18  1/2  1  2  > 
作者:
标题: 降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  降服“飓风” 360安全卫士新版完美防御“鬼影”病毒




飓风!=鬼影。鬼影360上个月抓获后已经更新了防御做了版本在测试,前两天已经发布了,现在可完美防御鬼影

这个鬼影病毒,通过特殊方式加载驱动,目前所有的HIPS、杀软、主动防御中,只有360安全卫士才能拦截这种驱动的加载,所以用hips只能捕获到驱动安装事件,无法捕获驱动加载事件。

另外这个样本会使用大量山寨攻击技术,试图恢复SSDT,加载驱动,包括:
1.ZwSystemDebugControl
2.BaseNameObject法杀卡巴
3.duplicate handle法杀360(N年前已无效)
4.dmusic法穿驱动防火墙
5.HIVE还原过注册表保护(对360无效)
6.站坑法阻止360查杀启动(N年前已无效)

等等

然后通过驱动程序感染MBR,感染部分是从国外的EEYE BOOTKIT开源项目修改的,加载后挂钩Ntldr的BlLoadBootDrivers下一行地方,从而得到执行机会,执行后挂钩ntoskrnl,并加载自己的SYS驱动,驱动再进行复活动作~

从样本来看,这个病毒的MBR感染已经同安全软件做过一些对抗了,例如在MBR代码中:

seg000:0025                 mov     si, 533h ; <suspicious>
seg000:0028                 xor     si, 120h
seg000:002C                 lodsw
seg000:002D                 sub     si, 2

注意前面两行,这里实际是等同于

mov si , 413h
即是将系统可用内存(通过是1MB) -2 ,预留空间来保存自己的挂钩代码

这里用异或方式计算出413H,很明显是免杀痕迹。

可想此病毒在未来还会继续变形、免杀,使用新的BYPASS技术、同安全软件对抗


“鬼影”病毒向安全厂商下战书 360最新版可全面拦截
来源:360安全中心  发布日期:2010-03-18 

  近日,网上有黑客大肆发布一款名为“鬼影”病毒的宣传广告,号称可以破坏所有安全软件。网民电脑中招后,无论格式化硬盘还是重装系统,“鬼影”都能复活。为保护用户免受这一新型病毒的侵害,360安全卫士最新版(版本号:7.0.0.1007)紧急升级了主动防御功能,可以完全拦截“鬼影”病毒的攻击。

  在网上流传的“鬼影”(又名“飓风穿还原下载者”)技术资料中,黑客宣称采用了国外黑帽子黑客大会内部公布的Rootkit技术代码,能实现木马黑市上前所未有的另类复活技术MBR感染(系统引导区感染),能够通杀包括卡巴斯基、瑞星、江民、NOD32、金山以及360安全卫士在内的所有主流安全软件,并专门对360发下战书!

  “鬼影”技术资料写到:“目前可以破坏360安全卫士、360杀毒、江民的下载者几乎少之又少,‘鬼影’则能通杀市面上已知的所有主流杀毒软件,并使用系统漏洞加载驱动,均可在任何杀软下无提示下运行”,并且能够做到“无文件、无进程、无DLL的超级隐藏”。

  面对黑客发出的挑战,360安全中心经过分析验证后发现,“鬼影”之所以如此猖獗,是由于它能够感染MBR(系统引导区)来获取系统控制权。“电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件,由于这个空间是隐藏的,杀毒软件无法对此进行扫描,从而给‘鬼影’留下了复活的空间。然而‘鬼影’并不是无所不能,360安全卫士的‘主动防御’恰恰就是‘鬼影’的克星。”360安全专家石晓虹博士解释说。

  据石晓虹介绍,360安全卫士最新版本已经专门为“鬼影”对症下药,在“主动防御”功能中增加了防范“鬼影”感染MBR的拦截规则,相当于废掉了它最厉害的杀手锏。此外,360能够全方位封堵“鬼影”的传播途径,让它无法利用挂马网页、U盘、局域网ARP攻击等方式进行传播,把360用户电脑感染“鬼影”病毒的风险降到最低。

  石晓虹告诉网民,“鬼影”最典型的中招特征是安全软件无法正常运行,并可能伴有浏览器首页被改等现象。出现此类情况的用户,应及时下载使用最新版本的360安全卫士产品(下载地址http://dl.360safe.com/instbeta.exe),或访问360官网向安全厂商求助。(360求助中心网址:http://help.360.cn

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-3-19 15:05
查看资料  发送邮件  访问主页  发短消息   编辑帖子
fufuji97
新手上路





积分 2
发帖 2
注册 2010-3-20
#2  

都是马后炮,用影子就可以无视这个鬼影

※ ※ ※ 本文纯属【fufuji97】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 14:45
查看资料  发送邮件  发短消息   编辑帖子
fufuji97
新手上路





积分 2
发帖 2
注册 2010-3-20
#3  

另外,楼主你这贴子,http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1

你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透影子最新版的根据是什么?是哪个影子的最近版?你知道有多少影子软件吗?

※ ※ ※ 本文纯属【fufuji97】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 14:49
查看资料  发送邮件  发短消息   编辑帖子
niels
新手上路





积分 2
发帖 2
注册 2008-4-10
#4  



  Quote:
Originally posted by fufuji97 at 2010-3-20 14:49:
另外,楼主你这贴子,http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1

你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透 ...

哈哈,见到老哥了。
纯忽悠,Shadow Defender 325,实测,没穿

[ Last edited by niels on 2010-3-20 at 15:17 ]

※ ※ ※ 本文纯属【niels】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 15:16
查看资料  发送邮件  发短消息   编辑帖子
f8312519
银牌会员




积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
#5  

就个360还能防

看不惯360

※ ※ ※ 本文纯属【f8312519】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com
2010-3-20 20:32
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
xie52165
新手上路





积分 10
发帖 10
注册 2010-3-23
#6  

就是360都能防御,搞笑吧

※ ※ ※ 本文纯属【xie52165】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-23 12:06
查看资料  发送邮件  发短消息   编辑帖子
yeahyeah
银牌会员

微点灌水区水师提督(退休)


积分 1520
发帖 1512
注册 2009-6-13
来自 浩瀚的宇宙
#7  

都是马后炮

※ ※ ※ 本文纯属【yeahyeah】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

www.baidu.com
2010-3-23 13:10
查看资料  发送邮件  发短消息   编辑帖子
zzz@zzz
注册用户





积分 111
发帖 111
注册 2010-1-4
#8  

给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。

附件 1: cmd.png (2010-4-6 00:15, 12.81 K,下载次数: 43)


※ ※ ※ 本文纯属【zzz@zzz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

自由。。平等。。
2010-4-6 00:15
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#9  



  Quote:
Originally posted by zzz@zzz at 2010-4-6 00:15:
给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。

没找到

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-4-6 19:59
查看资料  发送邮件  访问主页  发短消息   编辑帖子
wz6013
新手上路





积分 2
发帖 2
注册 2010-4-14
#10  

仅用瑞星杀毒软件即可解决一切

※ ※ ※ 本文纯属【wz6013】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-14 14:25
查看资料  发送邮件  发短消息   编辑帖子
 18  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号