近日腾讯反病毒实验室接到多例用户反馈电脑中了“熊猫烧香”病毒,致使电脑无法正常使用。用户描述有尝试从网上下载相关安全厂商的“熊猫烧香”专杀工具进行查杀,但是依然无法查杀。
难道“熊猫烧香”又重出江湖,以更加恶劣的形式在互联网传播并危害用户?
取得样本后,反病毒工程师深入分析发现,实为伪装成“熊猫烧香”的一款内核级恶意对抗安全软件病毒。目前腾讯电脑管家能够有效查杀该病毒以及其变种,为用户的电脑安全保驾护航。
一、 分析总结:
样本通过释放驱动的方式,和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏,导致系统无法正常使用;另一方面通过和驱动的组合方式,和安全软件进行恶意对抗,结束众多安全软件进程。
二、木马行为:
文件母体会通过删除、修改注册表键值等方式使系统无法进入安全模式,禁用任务管理器、右键;建立文件关联,使PE文件图标关联为“熊猫烧香”的图标;创建驱动,加载驱动;添加自身开机启动;遍历进程,与驱动LianXue_SuperKill.sys、jinhu.sys建立通信,调用ZwTerminateProcess等函数、插入APC与PspExitThread等方式结束进程。
三、详细分析:
1、 母体分析
1) 通过修改注册表的方式,将自己添加开机启动
2)在C盘释放关联图标文件17mt.ico,并通过修改注册表的方式,将exe、zip、rar、ghost等诸多文件关联到C:\17mt.ico,导致文件均为熊猫烧香的图标
3) 通过删除安全模式相关注册表,导致无法进入安全模式进行修复
4) 删除修改注册表键值,禁用鼠标右键和任务管理器
5) 通过三个CreateFile函数,分别创建Hook.dll、KillFill.sys和LianXue_SuperKill.sys
6) 遍历应用层进程,查找进程遍历列表中的进程
应用层进程列表,并按照顺序和应用层遍历出来的进程进行比较,比较应用层进程列表中的进程是否在该表中
7)通过DeviceIoControl函数与驱动LianXue_SuperKill.sys建立通信,结束安全软件进程
2、 结束安全软件驱动分析:
样本在驱动层采取了两种方法结束杀毒软件:
第一种:作业方式终止;
第二种:插入APC与PspExitThread
1)LianXue_SuperKill.sys分析
Lianxue_SuperKill.sys加载后,母体文件会调用DeleteFileA函数将其删除
添加到服务
和母体文件通信,结束相关的安全软件进程
作业方式终止 :
在LianXue_SuperKill.sys里面调用使用如下:
ZwOpenProcess->ZwCreateJobObject->ZwAssignProcessToJobObject->ZwTerminateJobObject
2)jinhu.sys分析
插入APC与PspExitThread
2.1 在jinhu.sys里面主要使用方法:
a.特征码搜索未导出内核函数:PspExitThread;
调用 KeInsertQueueApc插入一个APC,进而调用PspExitThread
2.2特征码搜索未导出内核函数PspExitThread 方法如下:
