关于独狼Rootkit的介绍,可以看腾讯电脑管家的文章:
暴风激活工具传播独狼Rootkit新变种
病毒来源:
很多人也是听信这个弹窗,直接退出杀毒软件再打开激活工具,正中病毒下怀。
这里的激活工具都是加料的,双击运行后,释放运行病毒和激活工具。
上面kkk222.exe的就是病毒,下面的才是激活工具,任务管理器里也可以看到两个baofeng进程。
打开Pchunter,查看驱动模块选项卡,按驱动名排列,可以看到333A5317.sys(病毒本体),访问文件属性时被重定向到ACPI.sys了,这种情况下不能直接删除333A5317.sys,否则会导致ACPI.sys被删,那样重启会进不了系统。
打开drivers目录,会发现一片空白,显示系统文件和隐藏文件也一样。
桌面新建个空白压缩文档,用winrar打开,然后在里面浏览到drivers目录,可以看到病毒本体。
Rootkit病毒在运行前,杀软很容易查杀,运行后想查杀就没那么容易了,尤其在病毒重启完全启动后。这种情况下一般上rootkit专杀,很多杀软都有提供。
独狼rootkit重启后,打开进程列表,可能会看到一些进程GameInc.exe、hcc.exe、hb5.exe、cmk.exe等等,大多是temp目录运行的。
这些exe可能就是空间自动发说说、定时广告说说的元凶,利用了qq自动登录的漏洞。不过exe都没开机启动项,经由sys驱动激活。
所以删除了sys驱动,这些exe就成了尸体,病毒只要不开机启动,就等于是死的。除非替换系统文件,或者伪装欺骗用户双击运行,又或者利用系统dll搜索顺序漏洞运行。
重启后,下面测试3个rootkit专杀工具,自己看图。
卡巴的tdsskiller失败,什么都没有发现。
火绒恶意木马专杀失败,发现了,处理不了。
360急救箱成功查杀,可以看到上图驱动文件显示“文件不存在”。
考虑到独狼Rootkit有很多变种,以上查杀结果仅供参考。
下面介绍Pchunter手杀过程:
首先要知道病毒的驱动母体。
可以由样本分析得知。很多方法,如简单的在线分析,微步和魔盾。把exe上传到这些网站,开始分析即可,查看病毒释放文件就知道了。
其他的判断方法是,打开Pchunter,切换到驱动模块选项卡,按文件厂商排列,重点观察蓝色和红色的项目,通过数字签名、文件厂商、文件名,然后通过网上搜索、上传在线扫描来判断是否病毒。
还有种可能,病毒伪装成系统文件,现在的就是。这需要大家眼熟常见系统驱动。记不住的,可以自己弄个正常系统的驱动图,按文件名排列,截个图下来,然后跟自己的驱动一一对比。不同的又不认识的,就网上搜索,觉得可疑的就上传扫描。
开始手杀。
经由分析得知,病毒驱动大概是八个字符串的长度随机文件名,由数字和字母组成,字母估计符合十六进制(只有A-F)。
所以Pchunter里按驱动名排列,一下子找到333A5317.sys,查看下属性,发现被重定向到ACPI.sys,这种情况下不能直接删除驱动文件,会导致系统驱动ACPI.sys文件被删除。
Pchunter切换到内核、系统回调选项卡,删除跟333A5317.sys有关的回调。
切换到文件系统选项卡,右击移除病毒的过滤器。
回到驱动模块,再右击333A5317.sys查看驱动文件属性,可以看到属性已经变回来了。
上海域联软件的签名,病毒驱动很常用。
然后直接右击333A5317.sys删除驱动(文件和注册表),再右击卸载,至此病毒成功移除。
然后装杀毒软件全盘扫描,收尾工作有时候是必要的。
考虑到病毒可能出现对抗,或删除病毒过程中可能会误删系统文件。如果可以,Rootkit病毒的查杀最好在PE下进行,可以装个微PE到系统上,重启进入微PE工具箱,备份删除病毒文件。
我测试的时候,样本的独狼Rootkit注册表保护几乎没有,直接运行regedit打开注册表,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,删除333A5317,重启病毒就挂了。
独狼带两个驱动的情况。
还有种情况,独狼带两个驱动,另外一个驱动文件伪装成partmgr.sys,在Pchunter驱动模块选项卡里表现为两个fltmgr.sys。
正常情况下,系统驱动都只有一个的,两个的话肯定有问题,如之前的锁主页木马,表现为两个ACPI.sys。
本人水平较差,做了很多尝试,还是两个fltmgr.sys,pchunter对象劫持里提示fltmgr.sys存在对象劫持。
不知道怎么直接删除,最后通过注册表项一一查看,或者Autoruns的驱动选项卡查看,找到病毒驱动及注册表项(文件名为长度为6的随机英文数字字符串)。
系统回调里删除所有fltmgr.sys,再删除病毒的注册表项,重启成功删除。或者PE里删除驱动文件。
其他判断方法,进PE,打开drivers文件夹,右击,排序方式,更多,按拼音首字母顺序找到并勾选“公司”,然后按公司排列,很容易找到没有公司或不认识公司的驱动文件。从中判断病毒。或复制drivers到其他文件夹,重启后用杀软扫描或上传扫描。
如果病毒没有在drivers目录,那autoruns查看驱动时可以很快找到对应的驱动,然后进PE里删除。
如果病毒对自己的注册表项也进行保护的话,可能需要PE里查看注册表。
PE打开注册表编辑器,选中HKEY_LOCAL_MACHINE,点文件,加载配置单元,打开System32\config\SYSTEM,输入名字system1。
然后展开HKEY_LOCAL_MACHINE\system1\ControlSet001\services,一一判断可疑的项。也可以自己截个正常注册表项的图一一对比。
正常的注册表项,可以虚拟机里装原版系统获得。又或者从iso里的Install.wim提取system,用注册表按上面方法打开截图。
如果是win7系统的话,还可以在设备管理器,查看,显示隐藏设备后,在非即插即用驱动程序里找到,很明显。无法直接卸载,但是知道了名称,可以在PE里删除。
别的办法就是用各杀软提供的急救盘进PE查杀。
当然用360系统急救箱的话,这两个驱动都能简单查杀。急救箱查杀rootkit能力很优秀,不过误伤有点高,需要自己恢复。360主要靠云查杀,需要联网查杀,断网的话,可能查杀不了。