Rootkit木马是何妖孽

有一种病毒,你很难觉察他,甚至在中毒后,也意识不到电脑已经中毒了,还以为只是电脑配置低、卡慢,这种病毒就是Rootkit。今天,我们将向大家详细介绍近期发现的两种Rootkit病毒,这两种病毒都涉及到一个重要的场景:电脑系统重装。重装系统常被视为解决系统运行卡慢、不稳定等问题的终极大招,然而,有时重装系统也会带来一些木马病毒的侵扰。

Rootkit是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用各种底层技术隐藏和保护自身,绕开安全软件的检测和查杀。所有Rootkit病毒都具有以下两大特点:

1)会隐蔽、难检测:木马驱动加载后,通过对象劫持技术来隐藏自身内核驱动对象,骗过大多数杀软的安全扫描。

2)极顽固、难查杀:木马将自身设为boot型驱动,比安全软件驱动加载得更早,且设置了文件保护、注册表保护,难以清除。

藏匿在U盘启动盘的Rootkit木马

近日,腾讯电脑管家发现一款通过U盘启动盘制作工具传播的Rootkit病毒,使用该工具通过任意ghost安装系统,都会在系统中插入Rootkit病毒,Rootkit病毒启动后将导致浏览器主页被锁。

作案手法:腾讯电脑管家发现,该Rootkit病毒以“HPxxxx.sys”、“USBxxxx.sys”格式随机命名文件,平时会潜伏在电脑中,通过锁定浏览器主页来盈利。此外,该病毒还会监控自身的注册表服务是否被修改或删除,一旦发现有安全软件试图删掉病毒对应的注册表,就会自动强制重启电脑,以此逃避查杀。

潜入路径:通过在网络搜索相关“启动盘制作”关键词,网友能找出大量相关的工具和步骤。根据网上的制作教程和推荐工具,网友就能制作出一款合适的U盘启动盘。但如何选择成了一个难题,有选择恐惧症的网友在面对市场上多如牛毛的产品时,总会不知道哪个才是安全的。而一些不法分子则将木马病毒暗藏在相关工具中,并通过论坛、问答、聊天群等社交渠道大肆传播,不明真相的网友一旦下载,就会导致电脑中招。

藏匿在ghost的Rootkit木马

腾讯电脑管家威胁态势感知系统发现一个恶性Rootkit木马感染了大量电脑并长期高隐蔽潜伏。该木马除了具有Rootkit病毒的普遍特点外,还具3个新特点:

1)云控更灵活:该木马使用模块化运作,可通过云端下发各种恶意插件从而实现对受感染机器的信息窃取,远程控制。

2)用户难感知:由于该木马的恶意行为均在后台,中毒用户除了电脑变卡变慢外,并无明显其他异常,普通用户难以感知。

3)杀软难查杀:该木马通过多种方式来隐藏自己,如设置为boot型驱动、进行挂钩、改为随机名称驱动等,来欺骗安全软件。

该木马系腾讯电脑管家首先发现,因其在“晚上”(合适时机)会开始运行并在下一个“白天”继续潜伏,被腾讯安全技术人员命名为“狼人杀”。目前,腾讯电脑管家已率先实现对该类木马的查杀,用户可使用查杀功能和急救箱对电脑进行修复。

Rootkit木马的作案流程

在这起Rootkit木马的案件中,电脑管家技术人员分析了木马的作案流程,从作案流程中,也可以看出Rootkit木马的狡猾。

1、抢先驱动:创建注册表,将自身设置为boot型驱动,开机自启动。并通过修改注册表中的ServiceGroupOrder键下的list值来确保驱动最先被加载。举个例子,如果将我们的电脑比作金库,这步可以理解为一个盗贼要在安保人员上岗前进入金库。

2、更换名称:该木马在driver目录下随机复制一个系统驱动文件为随机名称驱动,并通过对象劫持技术将自身对应的文件名改成该随机名称驱动,欺骗安全软件。这步可以理解为盗贼换上了金库人员的衣服,企图骗过安保人员。

3、躲避检查:如不断创建cmpcallback回调,守护和隐藏注册表。同时,根据文件系统类型,对fastfat.sys或ntfs.sys的派遣函数进行挂钩,实现隐藏和守护木马驱动文件,同时隐藏fastfat.sys或ntfs.sys,从而绕过pchunter等ark工具的钩子检测。

4、解密出一个PE文件,并以APC的方式插入到系统Services.exe进程中执行。

这一步才是Rootkit的目的,他们要执行恶意程序,达成非法获利的目的。但,这个木马不简单,他还是一个潜伏者,可以随时接受上级指令。这个上级就是C&C。在接受指令前,Rootkit病毒还会进行环境检测,包括对运行环境,是否安装安全软件,是否处于虚拟机环境,是否为安全分析人员机器,是否是网吧机器等。检测结果将被上传到C&C。这一步是为确认执行任务时是否有被剿灭的风险。连接成功后,Rootkit木马会将机器信息,包括之前获取到的运行环境等上传,随后接收指令,将C&C下达的插件下载到本地。根据腾讯电脑管家的分析,C&C下载的插件主要是:锁主页、篡改导航网站推广id、远程控制、刷流量、内核对抗等。此时,如果中毒机器不及时杀毒,就会沦为肉机,任由C&C的指令摆布。

珍爱网络安全,远离Rootkit病毒

病毒查杀和安全防护一直是用户最为关注的方面,为此,电脑管家一直在精进钻研安全技术,目前管家针对Rootkit病毒的检测和查杀能力已十分强大。管家在总结各种Rootkit隐藏技术的基础上,于业内首创一种基于检测“Rootkit隐藏技术”的通用方案,可以覆盖数十种Rootkit使用的隐藏技术,从检测一种已知Rootkit升级到检测一类同样技术的Rootkit,更好的防护可以提前将风险隔绝。如您有重装系统的需求,请参考以下几点进行安全操作:

1、官方渠道:重装操作系统时应尽可能通过官方渠道安装,搜索得来的推荐工具更应谨慎使用。

2、文件扫描:在下载文件后要确保开启管家,管家的下载保护功能会在文件下载后对文件自动扫描,确保文件正常。

3、深度查杀:系统重装后需用电脑管家进行病毒查杀,确保电脑的安全环境良好。使用管家的闪电杀毒即可查杀出Rootkit病毒。

4、系统急救箱:急救箱的优势主要是对于未知病毒可以采用更模糊的规则匹配,如怀疑有难以查杀的病毒时,可启用此功能。

4招剿灭网络魑魅

腾讯电脑管家系统急救箱教程

1、在腾讯电脑管家“工具箱”中打开“系统急救箱”,
并点击“开始急救”按钮

2、扫描完成后点击立即重启按钮

处理过程中会有两到三次重启、只要按默认选择点击,直至rookit病毒被清除完毕,网络故障被修复,就又可以正常玩游戏了!

杉泽书友会

杉泽90后插画师有实力,无所惧

本期插画作者,国风美学画师,自由艺术工作者,致力于东方水墨插画艺术。

上期《警世录.迷魂障后的敲诈者》,我们根据插画作者杉泽给出的5个幸运数字,抽取了5位获奖用户,他们是踩中论坛帖19、22、83、99、119层的用户。

这期,签名赠书活动继续,仍会在每期的读者中筛选5名,送出由杉泽亲笔签名的《洛煌笈》。

参加活动领取签名赠书>>

往期回顾

查看插画师详情