»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» 降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
18
1/2
1
2
>
作者:
标题: 降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
降服“飓风” 360安全卫士新版完美防御“鬼影”病毒
飓风!=鬼影。鬼影360上个月抓获后已经更新了防御做了版本在测试,前两天已经发布了,现在可完美防御鬼影
这个鬼影病毒,通过特殊方式加载驱动,目前所有的HIPS、杀软、主动防御中,只有360安全卫士才能拦截这种驱动的加载,所以用hips只能捕获到驱动安装事件,无法捕获驱动加载事件。
另外这个样本会使用大量山寨攻击技术,试图恢复SSDT,加载驱动,包括:
1.ZwSystemDebugControl
2.BaseNameObject法杀卡巴
3.duplicate handle法杀360(N年前已无效)
4.dmusic法穿驱动防火墙
5.HIVE还原过注册表保护(对360无效)
6.站坑法阻止360查杀启动(N年前已无效)
等等
然后通过驱动程序感染MBR,感染部分是从国外的EEYE BOOTKIT开源项目修改的,加载后挂钩Ntldr的BlLoadBootDrivers下一行地方,从而得到执行机会,执行后挂钩ntoskrnl,并加载自己的SYS驱动,驱动再进行复活动作~
从样本来看,这个病毒的MBR感染已经同安全软件做过一些对抗了,例如在MBR代码中:
seg000:0025 mov si, 533h ; <suspicious>
seg000:0028 xor si, 120h
seg000:002C lodsw
seg000:002D sub si, 2
注意前面两行,这里实际是等同于
mov si , 413h
即是将系统可用内存(通过是1MB) -2 ,预留空间来保存自己的挂钩代码
这里用异或方式计算出413H,很明显是免杀痕迹。
可想此病毒在未来还会继续变形、免杀,使用新的BYPASS技术、同安全软件对抗
“鬼影”病毒向安全厂商下战书 360最新版可全面拦截
来源:360安全中心 发布日期:2010-03-18
近日,网上有黑客大肆发布一款名为“鬼影”病毒的宣传广告,号称可以破坏所有安全软件。网民电脑中招后,无论格式化硬盘还是重装系统,“鬼影”都能复活。为保护用户免受这一新型病毒的侵害,360安全卫士最新版(版本号:7.0.0.1007)紧急升级了主动防御功能,可以完全拦截“鬼影”病毒的攻击。
在网上流传的“鬼影”(又名“飓风穿还原下载者”)技术资料中,黑客宣称采用了国外黑帽子黑客大会内部公布的Rootkit技术代码,能实现木马黑市上前所未有的另类复活技术MBR感染(系统引导区感染),能够通杀包括卡巴斯基、瑞星、江民、NOD32、金山以及360安全卫士在内的所有主流安全软件,并专门对360发下战书!
“鬼影”技术资料写到:“目前可以破坏360安全卫士、360杀毒、江民的下载者几乎少之又少,‘鬼影’则能通杀市面上已知的所有主流杀毒软件,并使用系统漏洞加载驱动,均可在任何杀软下无提示下运行”,并且能够做到“无文件、无进程、无DLL的超级隐藏”。
面对黑客发出的挑战,360安全中心经过分析验证后发现,“鬼影”之所以如此猖獗,是由于它能够感染MBR(系统引导区)来获取系统控制权。“电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件,由于这个空间是隐藏的,杀毒软件无法对此进行扫描,从而给‘鬼影’留下了复活的空间。然而‘鬼影’并不是无所不能,360安全卫士的‘主动防御’恰恰就是‘鬼影’的克星。”360安全专家石晓虹博士解释说。
据石晓虹介绍,360安全卫士最新版本已经专门为“鬼影”对症下药,在“主动防御”功能中增加了防范“鬼影”感染MBR的拦截规则,相当于废掉了它最厉害的杀手锏。此外,360能够全方位封堵“鬼影”的传播途径,让它无法利用挂马网页、U盘、局域网ARP攻击等方式进行传播,把360用户电脑感染“鬼影”病毒的风险降到最低。
石晓虹告诉网民,“鬼影”最典型的中招特征是安全软件无法正常运行,并可能伴有浏览器首页被改等现象。出现此类情况的用户,应及时下载使用最新版本的360安全卫士产品(
下载地址
:
http://dl.360safe.com/instbeta.exe
),或访问360官网向安全厂商求助。(360求助中心网址:
http://help.360.cn
)
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-3-19 15:05
fufuji97
新手上路
积分 2
发帖 2
注册 2010-3-20
#2
都是马后炮,用影子就可以无视这个鬼影
※ ※ ※ 本文纯属【fufuji97】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 14:45
fufuji97
新手上路
积分 2
发帖 2
注册 2010-3-20
#3
另外,楼主你这贴子,
http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1
你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透影子最新版的根据是什么?是哪个影子的最近版?你知道有多少影子软件吗?
※ ※ ※ 本文纯属【fufuji97】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 14:49
niels
新手上路
积分 2
发帖 2
注册 2008-4-10
#4
Quote:
Originally posted by
fufuji97
at 2010-3-20 14:49:
另外,楼主你这贴子,
http://bbs.micropoint.com.cn/showthread.asp?tid=67324&fpage=1
你都亲测过吗?我可以肯定的告诉你,shadowdefender和powershadow可以完美的防御这个病毒,你说什么穿透 ...
哈哈,见到老哥了。
纯忽悠,Shadow Defender 325,实测,没穿
[
Last edited by niels on 2010-3-20 at 15:17
]
※ ※ ※ 本文纯属【niels】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-20 15:16
f8312519
银牌会员
积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
#5
就个360还能防
唉
看不惯360
※ ※ ※ 本文纯属【f8312519】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
维创论坛免费软件园地欢迎您!
http://herofw.haotui.com
2010-3-20 20:32
xie52165
新手上路
积分 10
发帖 10
注册 2010-3-23
#6
就是360都能防御,搞笑吧
※ ※ ※ 本文纯属【xie52165】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-23 12:06
yeahyeah
银牌会员
微点灌水区水师提督(退休)
积分 1520
发帖 1512
注册 2009-6-13
来自 浩瀚的宇宙
#7
都是马后炮
※ ※ ※ 本文纯属【yeahyeah】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
www.baidu.com
2010-3-23 13:10
zzz@zzz
注册用户
积分 111
发帖 111
注册 2010-1-4
#8
给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。
附件 1:
cmd.png
(2010-4-6 00:15, 12.81 K,下载次数: 50)
※ ※ ※ 本文纯属【zzz@zzz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
自由。。平等。。
2010-4-6 00:15
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#9
Quote:
Originally posted by
zzz@zzz
at 2010-4-6 00:15:
给楼主配张图片吧,今天卡饭看到过说是新的,结果还是一样哎,灰客,满街都是灰客。。。。。。。。。
没找到
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-4-6 19:59
wz6013
新手上路
积分 2
发帖 2
注册 2010-4-14
#10
仅用
瑞星杀毒软件
即可解决一切
※ ※ ※ 本文纯属【wz6013】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-14 14:25
18
1/2
1
2
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号