鬼影病毒
发布时间:2011-09-23   作者:启明星辰

病毒描述及原理简介:

 

1.该病毒首先会检查本地进程中是否含有RStray.exe或者KVMon,如果有则创建一个模态对话框以绕过安全软件的主动防御功能,在该对话框的回调函数中会做和下面基本相同的动作。

 

2.从自身资源读取名为70,资源类别为DRIVER的资源,并将其释放在临时目录下以*.tmp文件命名,并将其重命名为%windir%\system32\drivers\bios.sys。检测RsTray.exe或KVMon进程是否存在,如果存在则从自身资源读取并释放%windir%\flash.dll文件,加载该动态库文件。该动态库的主要功能就是为bios.sys注册服务,并启动该服务。如果不存在RsTray.exe或KVMon,则将%windir%\system32\drivers\bios.sys重命名%windir%\system32\drivers\beep.sys,并启动beep服务。

 

Bios.sys的主要功能就是改写特定主板的bios。

 

 
病毒首先会发送IoControlCode=80102188h的控制码,用于检测主板的bios是否为Award Bios。

 

如果是,则再次发送IoControlCode=80102180的控制码,将当前主板的bios数据备份为C:\bios.bin。之后会对该bios进行一些特征校验,如果校验过了则从资源释放一个文件并重命名为cbrom.exe,该文件是Award Bios修改软件。之后会再从资源释放一个文件并重命名为hook.rom。之后调用cbrom.exe将hook.rom写入bios.bin数据的ISA模块。

 

Hook.rom的作用主要是检测MBR部分是否被修复。如果发现MBR部分已被修复,就将BIOS内的病毒代码约14个扇区写入MBR中。之后会发送IoControlCode=80102184h的控制码,将bios.bin的数据刷进主板的BIOS中。进程退出。

 

如果不是Award Bios,则病毒也会释放一个hook.rom文件,并直接操纵物理磁盘将其写到MBR中。

 

被感染的MBR在启动的时候会继续感染winlogon.exe(XP/2003)或者Wininit.exe(Win7/Vista)。

 

被感染的winlogon.exe和Wininit.exe在执行一系列代码解密后会充当下载者下载http://dh.****.info:806/test/91/calc.exe等木马并执行。

 

病毒危害:

 

病毒的最大特点就是能够感染特定电脑主板的BIOS芯片,被感染的Bios会在启动的时候感染MBR;如果不是其要找的特定主板的Bios,则直接去感染MBR。被感染的MBR会继续感染系统启动关键文件,并由系统启动的关键文件充当下载者下载木马等病毒。

 

解决方案:

 

1、 更新至启明星辰最新病毒库

文章来源:启明星辰
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号