關於獨狼Rootkit的介紹,可以看騰訊電腦管家的文章:
暴風激活工具傳播獨狼Rootkit新變種
病毒來源:
很多人也是聽信這個彈窗,直接退出殺毒軟件再打開激活工具,正中病毒下懷。
這裏的激活工具都是加料的,雙擊運行後,釋放運行病毒和激活工具。
上面kkk222.exe的就是病毒,下面的纔是激活工具,任務管理器裏也可以看到兩個baofeng進程。
打開Pchunter,查看驅動模塊選項卡,按驅動名排列,可以看到333A5317.sys(病毒本體),訪問文件屬性時被重定向到ACPI.sys了,這種情況下不能直接刪除333A5317.sys,否則會導致ACPI.sys被刪,那樣重啓會進不了系統。
打開drivers目錄,會發現一片空白,顯示系統文件和隱藏文件也一樣。
桌面新建個空白壓縮文檔,用winrar打開,然後在裏面瀏覽到drivers目錄,可以看到病毒本體。
Rootkit病毒在運行前,殺軟很容易查殺,運行後想查殺就沒那麼容易了,尤其在病毒重啓完全啓動後。這種情況下一般上rootkit專殺,很多殺軟都有提供。
獨狼rootkit重啓後,打開進程列表,可能會看到一些進程GameInc.exe、hcc.exe、hb5.exe、cmk.exe等等,大多是temp目錄運行的。
這些exe可能就是空間自動發說說、定時廣告說說的元兇,利用了qq自動登錄的漏洞。不過exe都沒開機啓動項,經由sys驅動激活。
所以刪除了sys驅動,這些exe就成了屍體,病毒只要不開機啓動,就等於是死的。除非替換系統文件,或者僞裝欺騙用戶雙擊運行,又或者利用系統dll搜索順序漏洞運行。
重啓後,下面測試3個rootkit專殺工具,自己看圖。
卡巴的tdsskiller失敗,什麼都沒有發現。
火絨惡意木馬專殺失敗,發現了,處理不了。
360急救箱成功查殺,可以看到上圖驅動文件顯示“文件不存在”。
考慮到獨狼Rootkit有很多變種,以上查殺結果僅供參考。
下面介紹Pchunter手殺過程:
首先要知道病毒的驅動母體。
可以由樣本分析得知。很多方法,如簡單的在線分析,微步和魔盾。把exe上傳到這些網站,開始分析即可,查看病毒釋放文件就知道了。
其他的判斷方法是,打開Pchunter,切換到驅動模塊選項卡,按文件廠商排列,重點觀察藍色和紅色的項目,通過數字簽名、文件廠商、文件名,然後通過網上搜索、上傳在線掃描來判斷是否病毒。
還有種可能,病毒僞裝成系統文件,現在的就是。這需要大家眼熟常見系統驅動。記不住的,可以自己弄個正常系統的驅動圖,按文件名排列,截個圖下來,然後跟自己的驅動一一對比。不同的又不認識的,就網上搜索,覺得可疑的就上傳掃描。
開始手殺。
經由分析得知,病毒驅動大概是八個字符串的長度隨機文件名,由數字和字母組成,字母估計符合十六進制(只有A-F)。
所以Pchunter裏按驅動名排列,一下子找到333A5317.sys,查看下屬性,發現被重定向到ACPI.sys,這種情況下不能直接刪除驅動文件,會導致系統驅動ACPI.sys文件被刪除。
Pchunter切換到內核、系統回調選項卡,刪除跟333A5317.sys有關的回調。
切換到文件系統選項卡,右擊移除病毒的過濾器。
回到驅動模塊,再右擊333A5317.sys查看驅動文件屬性,可以看到屬性已經變回來了。
上海域聯軟件的簽名,病毒驅動很常用。
然後直接右擊333A5317.sys刪除驅動(文件和註冊表),再右擊卸載,至此病毒成功移除。
然後裝殺毒軟件全盤掃描,收尾工作有時候是必要的。
考慮到病毒可能出現對抗,或刪除病毒過程中可能會誤刪系統文件。如果可以,Rootkit病毒的查殺最好在PE下進行,可以裝個微PE到系統上,重啓進入微PE工具箱,備份刪除病毒文件。
我測試的時候,樣本的獨狼Rootkit註冊表保護幾乎沒有,直接運行regedit打開註冊表,展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,刪除333A5317,重啓病毒就掛了。
獨狼帶兩個驅動的情況。
還有種情況,獨狼帶兩個驅動,另外一個驅動文件僞裝成partmgr.sys,在Pchunter驅動模塊選項卡里表現爲兩個fltmgr.sys。
正常情況下,系統驅動都只有一個的,兩個的話肯定有問題,如之前的鎖主頁木馬,表現爲兩個ACPI.sys。
本人水平較差,做了很多嘗試,還是兩個fltmgr.sys,pchunter對象劫持裏提示fltmgr.sys存在對象劫持。
不知道怎麼直接刪除,最後通過註冊表項一一查看,或者Autoruns的驅動選項卡查看,找到病毒驅動及註冊表項(文件名爲長度爲6的隨機英文數字字符串)。
系統回調裏刪除所有fltmgr.sys,再刪除病毒的註冊表項,重啓成功刪除。或者PE裏刪除驅動文件。
其他判斷方法,進PE,打開drivers文件夾,右擊,排序方式,更多,按拼音首字母順序找到並勾選“公司”,然後按公司排列,很容易找到沒有公司或不認識公司的驅動文件。從中判斷病毒。或複製drivers到其他文件夾,重啓後用殺軟掃描或上傳掃描。
如果病毒沒有在drivers目錄,那autoruns查看驅動時可以很快找到對應的驅動,然後進PE裏刪除。
如果病毒對自己的註冊表項也進行保護的話,可能需要PE裏查看註冊表。
PE打開註冊表編輯器,選中HKEY_LOCAL_MACHINE,點文件,加載配置單元,打開System32\config\SYSTEM,輸入名字system1。
然後展開HKEY_LOCAL_MACHINE\system1\ControlSet001\services,一一判斷可疑的項。也可以自己截個正常註冊表項的圖一一對比。
正常的註冊表項,可以虛擬機裏裝原版系統獲得。又或者從iso裏的Install.wim提取system,用註冊表按上面方法打開截圖。
如果是win7系統的話,還可以在設備管理器,查看,顯示隱藏設備後,在非即插即用驅動程序裏找到,很明顯。無法直接卸載,但是知道了名稱,可以在PE裏刪除。
別的辦法就是用各殺軟提供的急救盤進PE查殺。
當然用360系統急救箱的話,這兩個驅動都能簡單查殺。急救箱查殺rootkit能力很優秀,不過誤傷有點高,需要自己恢復。360主要靠雲查殺,需要聯網查殺,斷網的話,可能查殺不了。