“伪熊猫烧香”病毒来袭 电脑管家全面查杀

2015-05-12 来源:未知 作者:腾讯电脑管家
【文章摘要】近日,腾讯反病毒实验室接到多例用户反馈电脑中了“熊猫烧香”病毒,致使电脑无法正常使用。

       近日腾讯反病毒实验室接到多例用户反馈电脑中了“熊猫烧香”病毒,致使电脑无法正常使用。用户描述有尝试从网上下载相关安全厂商的“熊猫烧香”专杀工具进行查杀,但是依然无法查杀。

       难道“熊猫烧香”又重出江湖,以更加恶劣的形式在互联网传播并危害用户?

       取得样本后,反病毒工程师深入分析发现,实为伪装成“熊猫烧香”的一款内核级恶意对抗安全软件病毒。目前腾讯电脑管家能够有效查杀该病毒以及其变种,为用户的电脑安全保驾护航。



 

一、 分析总结:
        样本通过释放驱动的方式,和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏,导致系统无法正常使用;另一方面通过和驱动的组合方式,和安全软件进行恶意对抗,结束众多安全软件进程。

 

二、木马行为:
        文件母体会通过删除、修改注册表键值等方式使系统无法进入安全模式,禁用任务管理器、右键;建立文件关联,使PE文件图标关联为“熊猫烧香”的图标;创建驱动,加载驱动;添加自身开机启动;遍历进程,与驱动LianXue_SuperKill.sys、jinhu.sys建立通信,调用ZwTerminateProcess等函数、插入APC与PspExitThread等方式结束进程。



三、详细分析:
1、 母体分析
1) 通过修改注册表的方式,将自己添加开机启动


 

2)在C盘释放关联图标文件17mt.ico,并通过修改注册表的方式,将exe、zip、rar、ghost等诸多文件关联到C:\17mt.ico,导致文件均为熊猫烧香的图标


3) 通过删除安全模式相关注册表,导致无法进入安全模式进行修复


4) 删除修改注册表键值,禁用鼠标右键和任务管理器

 

5) 通过三个CreateFile函数,分别创建Hook.dll、KillFill.sys和LianXue_SuperKill.sys
 


 

6) 遍历应用层进程,查找进程遍历列表中的进程


应用层进程列表,并按照顺序和应用层遍历出来的进程进行比较,比较应用层进程列表中的进程是否在该表中


7)通过DeviceIoControl函数与驱动LianXue_SuperKill.sys建立通信,结束安全软件进程



 

2、 结束安全软件驱动分析:
样本在驱动层采取了两种方法结束杀毒软件:
第一种:作业方式终止;
第二种:插入APC与PspExitThread

1)LianXue_SuperKill.sys分析
Lianxue_SuperKill.sys加载后,母体文件会调用DeleteFileA函数将其删除


添加到服务


和母体文件通信,结束相关的安全软件进程



作业方式终止 :
在LianXue_SuperKill.sys里面调用使用如下:
ZwOpenProcess->ZwCreateJobObject->ZwAssignProcessToJobObject->ZwTerminateJobObject


2)jinhu.sys分析
插入APC与PspExitThread 
2.1 在jinhu.sys里面主要使用方法:
a.特征码搜索未导出内核函数:PspExitThread;
调用 KeInsertQueueApc插入一个APC,进而调用PspExitThread   


2.2特征码搜索未导出内核函数PspExitThread 方法如下:

   


电脑管家 V16

全新上线 更轻更快