新AV终结者死磕杀毒软件
网络安全
今年6月中旬,大家一定对一个神通广大的电脑杀手印象深刻吧。AV终结者,没错,那就是我。想当初,我初出茅庐就技惊四座,轻易地就能将电脑置于死地。后来名气大了,不想继续修炼了,没想到就被小浩、小猪等几个后辈盖了风头。这还叫我怎么见人呀!还好我的新绝技碎心掌已经练成,又从万毒谷出来了。
Ring3级Hook技术抢先终结安全软件
先前我横刀立马的技术——映像劫持技术已经被后辈用多了,各种清除方法和防护方法都已经成熟了,很容易被发现,单靠这个称雄已经不现实了。
经过一段时间的悉心研究,我修炼了一门更加隐蔽更致命的功夫——碎心掌。我知道Intel的CPU将运行指令的特权分为4个级别:RING0、RING1、RING2、RING3。Windows可以使用RING0和RING3,其中RING0只给操作系统用,RING3则是普通用户也可使用的。
小提示:Hook技术就是俗称的挂钩。在对特定的系统事件(如特定API函数的调用事件)进行Hook后,一旦发生Hook事件,对该事件进行Hook的程序(如木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。
这样一来,我便对一些安全软件的事件进行了RING3指令级别的Hook,一旦发生这类事件,我就将在事件发生时抢先破坏安全软件的文件(如图)。这样杀毒软件就被彻底击垮了,无法通过一些常规的防护方法予以防范,杀毒软件轻松被击毙,我自然就可以肆无忌惮地对电脑系统进行攻击了,这一招杀伤力无疑是足够强大的,被RING3指令级别的Hook技术破坏的安全软件,用户无法通过注册表进行修复,我的碎心掌够致命吧。
另外,我还练就了独门的隐身术。我可以利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程,即使自身被杀除,仍可死灰复燃。我还具有自我保护功能,一打开“我的文件”目录或安全软件的目录就会自动关闭。这样,普通用户绝对奈何不了我,我可以在系统中安营扎寨直到计算机完全崩溃。
碎心掌让电脑瘫痪生不如死
中了我的碎心掌有什么后果?请听我慢慢道来。
碎心掌危害一:我会在系统盘的“Program Files\Common Files\Microsoft Shared”目录下生成类似yaebcfe.exe的可执行文件,在系统盘的“Program Files\Common Files\System”目录下生成类似adpbsch.exe的可执行文件。这两个进程运行后,将马上让杀毒软件下岗。
我还会在注册表的“HKEY_LOCAL_MACHINE”的“SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN”的子项目添加启动这两个进程的键,以便开机就可启动。
碎心掌危害二:我会让用户无法查看到隐藏的文件,即使在资源管理器修改“工具→文件夹选项”里的设置也无济于事。此外,右键单击盘符选择“打开”或者“资源管理器”命令打开盘符时,都将感染我。这是因为我巧妙地建立了Autorun.inf文件来进行感染。
碎心掌危害三:打不开安全网站了。这便是我的高明之处。为了防止用户到安全网站去下载杀毒软件和升级杀毒软件,我早就修改了系统的Hosts文件(位于系统盘的“Windows\system32\drivers\etc”目录),基本上知名的安全网站都被劫持到了毫不相干的网站,如卡巴斯基中文官方网站就被转到了雅虎中国。
碎心掌危害四:我还会让大多数的安全软件失去抵抗力,主要采用了删除它们的可执行文件和驱动程序的方法。目前,我已经可以删除mmskskin.dll、KKClean.dll、VirUnk.def、ntiActi.dll、Rsaupd.exe、ereset.dll、Libclsid.dat 、KNetWch.SYS等20多个安全软件的核心文件。
编辑支招
招式1:新AV终结者仍然具有Aurorun病毒的特点,容易通过移动存储设备感染,务必通过组策略编辑器或者其他软件关闭磁盘的自动播放功能。
招式2:利用Windows Update网站更新所有的高安全级别的补丁,尤其注意要安装微软ANI漏洞补丁(KB935448)。 为了迅速更新补丁,建议使用第三方软件如《360安全卫士》、《金山清理专家》等。
招式3:建议用户不要随便点击QQ或者MSN发来的消息中的链接,不要登录小站点,不去不可信的网站下载软件。
招式4:针对新AV终结者的特点,建议使用具有反Hook、反进程注入技术的安全软件,如《瑞星2007防火墙》,其内置木马墙就具有这类功能。如果系统被病毒挂钩,可以使用《超级巡警》,其SSDT (服务描述表)功能可以显示和摘除被Hook的内核函数,并可以自动还原被Inline Hook的内核函数。
编辑观点:利用系统内核的病毒来袭了
随着一代毒王AV终结者的技术核心转向系统指令级别的Hook技术后,其威力比起以前的IFEO映像劫持技术来有过之而无不及。新AV终结者还具备了顽固而有效的注入进程技术,让人们只能望毒兴叹。在安全专家基本了解流行病毒的常规作案手段后,目前的病毒很可能推出全面利用系统内核的变种,第四季度的病毒防范任重而道远!