自2010年鬼影病毒问世以来,可谓是开创了一类新型恶意软件编写的先河。经过两年多的发展,鬼影病毒“繁衍”了一代又一代,形成了特性鲜明的鬼影家族系列。之所以称之为鬼影病毒,主要是因为该病毒寄生在磁盘主引导记录(MBR)当中,即使格式化硬盘,甚至重装系统,也无法将其完全清除,犹如“鬼影”一般附身于计算机中“阴魂不散”,令人十分恼火。
鬼影病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,并早于操作系统内核先加载,所以哪怕是重做了系统,只要MBR没重写,病毒就仍然存在。鬼影病毒目前已发展到第六代,已出现多个变种,且每个变种的行为都不尽相同,但它们都有一个共性,就是修改MBR。
MBR,全称为Master Boot Record,即硬盘的主引导记录。位于硬盘的0柱面0磁道1扇区,不属于任何一个操作系统,是计算机通电开机、主板自检完成后,访问硬盘时必须读取的首个扇区。主引导扇区中记录着硬盘本身的相关信息以及硬盘各个分区的大小和位置信息,是数据信息的重要入口。如果它受到破坏,硬盘上的基本数据结构信息将会丢失,需要用繁琐的方式试探性的重建数据结构信息后,才可能重新访问原先的数据。
主引导扇区的读取流程如下:
1. BIOS加电自检;
2. 读取MBR,当BIOS检查到硬件正常并与CMOS中的设置相符后,按照CMOS中对启动设备的设置顺序检测可用的启动设备;
3. 检查MBR的结束标志位是否等于55AAH,若不等于则转去尝试其他启动设备,如果没有启动设备满足要求,则显示"NO ROM BASIC",然后死机;
4. 当检测到有启动设备满足要求后,BIOS将控制权交给相应启动设备;
5. 根据启动设备的MBR中的引导代码启动引导程序。
通过上述流程可以看出,MBR对于操作系统来说是多么重要,一旦被破坏或被病毒恶意修改,对于系统来说都是致命的。因鬼影病毒而兴起的MBR-Rootkit技术颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,也算是具有划时代的意义。本文介绍的是鬼影家族的第三代产品,具有一定代表性。
病毒现象及行为
1) 桌面和快速启动栏多出伪装的IE快捷方式,主页被篡改为http://123.765321.info,且无法修改。
图1:IE主页被篡改
2) “文件夹选项”设置被修改,隐藏文件扩展名、不显示隐藏的文件和文件夹,修改后重启电脑又被改为隐藏。
图2:“文件夹选项”设置被修改
3) 任务管理器活动进程中多出一个alg.exe,通过查看进程PID,与XueTr中显示的进程对比,不难得出,PID为1784的才是正常的系统进程,位于C:\WINDOWS\system32下,而PID为1848的进程其实是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp伪装成的alg.exe,迷惑人的。
图3:病毒释放Vanlmh.tmp伪装成系统进程alg.exe
4) 使用XueTr的检测MBR Rookit功能,提示“未知MBR”。
图4:XueTr检测到MBR异常
上述现象只是肉眼看得到的表象,经过详细分析后得到的病毒行为主要有以下几个方面:
A. 病毒运行后会打开磁盘获取磁盘信息,通过计算磁盘的大小来计算用来数据存放的磁盘具体位置。读取MBR并备份,以便系统初始化时调用原始的MBR完成对系统的引导,然后修改MBR,实现在系统启动的第一时间获取控制权。
B. 释放驱动文件hello_tt.sys并加载,挂钩SCSI的DriverStartIO函数,用来过滤某些操作实现数据隐藏,并保护病毒修改的MBR不被修复掉。等待5秒,释放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp,创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项,名称为Alg,路径为C:\alg.exe。
C. 删除C:\WINDOWS\system32\drivers\beep.sys文件,这样重启电脑后hello_tt.sys便可替代beep.sys顺利加载到系统中。
D. 修改“文件夹选项”的设置,隐藏文件扩展名,不显示隐藏文件,在桌面和快速启动栏创建伪装的IE快捷方式,修改主页为http://123.765321.info,联网下载指定文件。
手工处理方法
1) 结束病毒活动进程并删除文件。
图5:结束Vanlmh.tmp进程并删除文件
2) 删除病毒创建的Alg启动项。
图6:删除病毒创建的Alg启动项
3) 摘除hello_tt.sys,替换掉beep.sys挂在SCSI下的钩子。
图7:摘除SCSI hook
4) 通过XueTr重置MBR,这里需要事先备份一份正常的MBR,由它来替换被病毒修改的MBR。
图8:修复MBR
5) 在IE设置中把病毒劫持的主页修改回来,从其他干净系统中拷贝一个beep.sys放到系统drivers目录下。
通读完全文,是不是觉得网上传得神乎其神的鬼影病毒不再那么陌生和可怕了?MBR-RootKit技术之前主要在国外技术论坛传播,近几年因鬼影病毒的出现才在国内火了一把。在鬼影病毒之前,这项技术少有被黑客利用的案例,但未来可能会有更多恶意软件利用该技术长期驻留在用户电脑中。所以对于普通网友来说,多了解一些病毒知识,防患于未然是绝对有好处的。