一、 鬼影病毒概述
这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
二、鬼影病毒分析
1 病毒的启动方法
感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统) 进行hook---->hook内核函数实现优先加载驱动并执行病毒驱动------>后期其他操作(比如下载盗号木马,统计感染量等)
图1,鬼影病毒感染前后,MBR的变化。
图2 中毒后的磁盘扇区变化示意
2. 生成部分文件
%ProgramFiles%MSDNatixx.sys(工作驱动)
%ProgramFiles%MSDNatixi.sys(负责将其他文件写入引导区)
%ProgramFiles%MSDN�(木马下载器)
%ProgramFiles%MSDNatixx.inf(驱动安装脚本
%ProgramFiles%MSDNatixi.inf(驱动安装脚本
