“反病毒杀手Rootkit”病毒
危险等级:★★★
病毒名称:Rootkit.Win32.KillAV.a
入库版本:19.40.20
类型:感染型病毒
感染的操作系统:Windows 98以后所有版本Windows系统
威胁情况:
传播级别:低
清除难度:困难
破坏力:低
破坏手段:禁止反病毒、防火墙等安全软件运行
此病毒是一个Rootkit病毒,由C语言编写的驱动程序,提供破坏杀毒软件的功能。
1、禁止反病毒软件的运行:
病毒调用PsSetLoadImageNotifyRoutine函数注册镜像加载的通知例程,在通知例程中,病毒首先比较加载的镜像的名称是否包含下名称:
vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,
bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,
sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,
avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,
ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exe,
bdmcon.exe,livesrv.exe,cclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,
inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe
对于包含上名称的镜像,病毒检查其是否是有效的PE文件,如是则调用ZwOpenProcess、ZwTerminateProcess函数禁止其运行,以此来禁止反病毒软件、防火墙等安全软件的运行。
2、挂接API:
病毒通过修改cr0寄存器标志位的方法关闭写保护,然后替换KeServiceDescriptorTable中的函数地址来Hook API,并记下原函数的地址。病毒挂接了如下两个API:
ZwQueryDirectoryFile
ZwEnumerateValueKey
3、ZwQueryDirectoryFile钩子过程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwQueryDirectoryFile函数,然后比较得到的目录、文件名中是否包含"kernelw"字符串,如果包含将返回STATUS_NO_MORE_FILES,反之,将正常的结果返回。
病毒通过挂钩ZwQueryDirectoryFile来隐藏包含有"kernelw"名称的目录或文件,以此来保护自己。
4、ZwEnumerateValueKey钩子例程:
在这个钩子过程中,病毒调用记录的原函数地址调用ZwEnumerateValueKey函数,然后比较得到的节果中的键值是否包含"kernelw"字符串,如果包含则返回错误,反之,将正常的结果返回。
病毒通过挂钩ZwEnumerateValueKey来隐藏键值包含有"kernelw"名称键值,以此来保护自己。
5、钩子保护线程:
病毒通过调用PsCreateSystemThread启动一个新的线程,在这个线程中不断循环检测KeServiceDescriptorTable表中自己挂钩的ZwQueryDirectoryFile、ZwEnumerateValueKey的地址是否被改变,如被改变则再次挂接这两个函数。
6、锁定ntoskrnl.exe文件
病毒通过调用ZwCreateFile、NtLockFile方式锁定ntoskrnl.exe文件,以此来防止其它程序通过读取ntoskrnl.exe中的数据恢复KeServiceDescriptorTable,以此来保护自己的API钩子。 |
发表于 2007-12-8 15:04
| 
