盘点病毒木马令中招者无比头疼的几种木马_病毒安全_

一.前言

有一类病毒木马使新兵头疼不已。他们为什么头痛？一旦招募普通网民，一般的防病毒方法就无法彻底杀死他们。无法使用杀毒软件杀死，格式化和重新安装可以正常工作吗？但是，通常在格式化并重新安装后会再次发现这种病毒。什么样的病毒如此顽固，今天让我们列出一下。

顽固病毒主要是指在计算机底部运行的Bootkit病毒和Rootkit病毒，它们运行在系统底部，可以在较早的时间获得执行机会。 Bootkit病毒会感染磁盘MBR和VBR，并在系统引导期间获得执行控制权。具有启动早，隐蔽性高的特点。 Rootkit病毒在Ring0层执行并具有更高的权限。他们通常通过诸如挂钩磁盘挂钩和注册回调之类的技术手段来实现自我保护。它们具有激烈的反软件对抗和许多变种的特征。

2018年最活跃的Bootkit / Rootkit病毒家族包括：暗云，孤狼，插件鬼，血狐，紫狐，隐魂，双，Homepage Security木马等。其中，最活跃的Rootkit下半年病毒该家庭是一个孤独的狼家庭。计算机管家仅披露了3例与孤狼家族有关的病毒感染案例。传输渠道从盗版的孤狼GHOST系统到孤狼的第二代激活工具不等。从获利，传播黑客木马到强大地破坏杀毒软件的功能，可以说是无所作为。

Bootkit最活跃的病毒家族是“暗云和隐藏的灵魂”系列。 Dark Cloud不仅经常更改其C2 URL，而且还首次发现它与Mykings僵尸网络捆绑在一起。此外，国内制造商披露的暗云变种“ Hidden”也加入了采矿行列。 Bootkit病毒家族的隐藏灵魂于2017年首次公开，其变种“ Hidden Bee”的主要货币化方法也正在挖掘中。

Bootkit / Rootkit病毒的传播渠道可以分为四类，主要包括盗版Ghost系统，激活工具，游戏插件助手和下载器，第三方流氓软件以及通过漏洞和弱密码爆炸进行传播的新方法。 。值得注意的是，腾讯宇健威胁情报中心在不同时间段随机选择了主要的系统下载站点，对270个系统下载链接下的系统进行了检测，共发现202个针对嵌入式病毒引起的系统异常的下载链接。异常比例高达75％。

本文主要从Bootkit / Rootkit病毒活跃家族，传播渠道，对策技术和典型案例四个方面对2018年该病毒的主要趋势和变化进行了统计。

一旦网民感染了顽固且难以杀死的病毒，一般的杀死方法就很容易失败。建议下载计算机管家的急救磁盘（急救箱PE版本），创建紧急U盘，然后使用紧急U盘启动以检查并杀死病毒。您可以访问此处以下载PE版的计算机管家急救箱：

二. 2018年活跃的B（R）ootkit病毒家族清单

Bootkit / Rootkit病毒仍然是主要的病毒类型，感染后普通C端用户很难检测和杀死它。 2018年更活跃的Bootkit / Rootkit病毒家族包括Dark Cloud，Lone Wolf，Plug-in Ghost，Blood Fox，Purple Fox，Hidden Soul，Double Gun，Homepage Security Trojan和其他家族。

典型的Bootkit / Rootkit病毒感染事件包括：

SQL SEVER弱密码爆炸入侵，乌云，Mykings和其他多个病毒家族捆绑了入侵传播事件；

Kouwan Game Box伪造了知名公司的数字签名，传播了Steam帐户黑客行为以及Rootkit木马事件；

“插入式幽灵”帮派发现他们是两个主要的病毒家族，即双胶和子佛的背后；

网页游戏微型终端“血盟荣耀”锁定了首页，并劫持了50多个知名电子商务和搜索网站等网站的流量。

腾讯宇坚威胁情报中心对Rootkit病毒的签名信息进行了统计，发现Rootkit病毒的签名信息高度集中，一些签名将被不加区别地使用。其中，“上海普联软件技术”和“双双河”使用最广泛的木马病毒是使用最广泛的。

被病毒滥用的签名

2018年主要活动Bootkit / Rootkit的统计数据，其主要获利方法包括流量清理，主页锁定，恶意推广，网络攻击，挖掘等。锁定主页仍然是主要获利方法，占比最高。占35％，其次是流量和软件推广，占30％。其中，“暗云”和“独浪”等家庭主要的货币化方法是锁定首页并刷钱。随着采矿黑产品的兴起，采矿利润逐渐增加（占10％）。诸如“ Hidden Bee”木马和“暗云新变种”之类的Bootkit木马也已经转向挖掘利润。

Tro强的木马的主要货币化方法

三. B（R）ootkit病毒传播渠道

1.盗版鬼魂系统

盗版的Ghost系统长期以来一直是病毒传播的重要载体。更重要的是，带有嵌入式病毒的盗版Ghost通常使用搜索引擎制造商的广告竞标排名来使普通网民搜索“ Ghost”系统。大多数系统中毒时，在搜索量较少的前几个位置，将显示“ Win 7”，“激活工具”和其他相关关键字。即使网民试图通过搜索引擎搜索“干净版本”，显示的搜索结果仍将显示在搜索结果中。顶部位置显示嵌入式病毒的下载链接。

有毒的幽灵系统

腾讯宇坚威胁情报中心对主要站点的Ghost系统进行了测试，发现它们具有以下几个特征：

a。这些盗版Ghost系统的下载链接将经常被替换，其主要目的是避免安全厂商针对这些下载链接发出警告提示；

b。这些有毒系统中的大多数将通过搜索引擎广告来推广。由于家庭软件使用习惯等原因，普通网民获取这些安装系统的主要方式是通过搜索，这导致那些只需要重新安装系统的用户就有可能下载这些有风险的系统并成为受害者。

c。提供这些Ghost系统的网站基本上是在显眼的位置下载中毒的系统。

腾讯宇健威胁情报中心在不同时间段随机选择主要系统下载站点，对270个系统下载链接下的系统进行了检测，发现202个下载链接，发现嵌入式病毒导致的系统异常。异常占多达75％。这里的系统异常是指系统异常，例如由于系统中嵌入的病毒而导致主页被锁定，流量的隐藏流以及恶意推销其他软件。

异常系统的比例

问题下载链接和网站的一部分

盗版的Ghost系统已成为病毒传播的温床。重要的原因是背后有利益驱动。首先是盗版的Ghost系统通过广告竞标排名获得网络流量，以吸引用户进行下载和安装，然后在Ghost系统中预装病毒，最后实现软件的推广和安装，劫持首页等手段。利润。获利后，继续??加大促销力度，形成完整的闭环产业链。

鉴于盗版的Ghost系统，病毒帮派长期以来一直在使用和激活各种激活工具，建议网民尽量使用正版软件。

病毒利润链

2.盗版激活工具，游戏插件和各种下载器

游戏插件和各种辅助工具也是病毒传播的重要载体。目标是游戏玩家。这些插件辅助工具主要通过Qige辅助网络（）和I Love辅助网络（），土城社区和许多其他游戏辅助网站等主要插件网站进行传播。

经常用于打包和传播病毒的插件辅助工具包括：旷野设备解锁器，单板盒透视图，DNF幻想设备，皇帝破解版等。2018年披露的Rootkit / Bootkit现已传播通过插件协助，包括两木马，紫狐，插件幽灵和其他病毒家族。

中毒游戏的热门插件和辅助工具

2018年，用于传播病毒的最活跃的激活工具是Pony激活工具。激活工具有很多变体。以win7激活，系统激活和Office激活的名义，它通过更换各种背心进行传播。病毒文件通常与激活工具捆绑在一起并打包在一起，运行后将被感染。第二代孤狼主要通过激活工具进行传播。

小马激活工具

3.第三方流氓软件

除了上述盗版Ghost系统的传播渠道外，激活工具，下载器，第三方流氓软件也是Rootkit / Bootkit病毒的重要传播渠道。

第三方恶意软件的主要特征是这些软件通常是在用户主动下下载并安装的。它们似乎与普通软件没有什么不同。它们都具有完整的安装和显示界面，但是这些软件不了解鬼影。感觉就像在用户计算机上安装病毒文件一样。这种传输渠道通常是秘密的，看起来像是许多网民使用的“常规”商业软件。

在这种类型的传播渠道中，主要有两种安装病毒感染的方法。一种是在安装软件后不会立即感染该病毒，但过一会儿，将通过云控制或软件升级来下载并安装该病毒，另一种方法是捆绑安装病毒和软件。

这种类型的传播渠道已成为病毒传播的重要驱动力。仅在2018年下半年，计算机管家首次使用第三方流氓软件传播Rootkit / Bootkit病毒，其中包括首页安全性，血统荣耀微端，护眼小秘书，酷玩游戏盒，台式机助手和其他软件。

护眼秘书，血液联盟荣耀显示界面

4.利用漏洞，弱密码爆破等传播新方法

通过清除弱密码，漏洞被成功利用，然后被中毒。过去，这种病毒的传播和入侵方法更多地集中在B侧企业用户上。但是，随着近年来挖掘病毒和勒索软件病毒的兴起，为了增加检测和查杀的难度并获得更早的执行机会，诸如挖掘勒索软件之类的病毒也将与诸如Rootkit / Bootkit之类的顽固病毒捆绑并传播。

最典型的情况之一是，例如，Dark Cloud Trojan和Mykings僵尸网络被捆绑并传播。由于Dark Cloud Trojan在系统启动阶段之前就有机会执行，因此其执行时间比操作系统更早，这大大增加了。考虑到调查和查杀的成本和难度，在此传输事件中，第一个是通过SQL SEVER弱密码进行爆炸。爆炸成功后，将释放出乌云木马和Mykings僵尸病毒，然后Mykings僵尸病毒将利用各种漏洞在内部网中积极传播。 ，Eternal Blue，Telnet爆炸，FTP爆炸等是病毒传播者最常用的策略。

入侵传播方法

尝试使用SQLSEVER弱密码清除

四个。对策技术升级清单

1.块过滤器

Rootkit病毒通常会注册各种回调或与系统相关的钩子，以在适当的时间点获得执行机会，并在回调函数中完成相关的拦截和过滤功能。以孤狼世代为例，孤狼系列病毒家族可以说是艰难应对病毒的大师。这是具有完整筛选架构的筛选驱动程序。拦截点和过滤点包括文件过滤，网络过滤等，如下图所示。过滤点和使用的技术以及影响风险。

孤狼Rootkit过滤点

2.对抗反软件

Bootkit / Rootkit病毒具有许多对策，以避免进行反软件检测。一些常见的对策如下：

路高一英尺，魔鬼高。防病毒软件与顽固病毒之间的对抗是一个连续的过程。每当病毒使用新方法逃避或绕过防病毒软件时，它将迅速杀死病毒。该软件还将升级其检测和杀死新病毒的能力。绝望时，该病毒还会释放出大招，例如强行重启计算机以阻止查杀进程。

计算机管理器（Computer Manager）在2018年披露的主页安全病毒使用这种强大的对抗方法来避免检测和杀死。主要逻辑是木马将不断检查系统启动组注册表项HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceGroupOrder下的HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceGroupOrder默认情况下，此注册表项的第一项是SystemReserved。如果检查启动组的第一项不是“系统保留”，则将剧烈重启计算机，并且可以通过OUT命令直接写入IO端口0x64，以实现强制重启，并写入端口64。 0xFE之后，计算机将被强制重新启动，以阻止防病毒软件进行检查和查杀

剧烈重启计算机

设备占用维修站

3.自我保护

此处提到的自我保护主要是为了防止用户发现病毒或由安全研究人员进行彻底分析，他们经常使用一些技术手段来保护自己，从而增加发现或分析病毒的难度。

最常见的自我保护对象是病毒文件和相应的注册表项。注册表的保护主要是通过注册cmpcallbakck回调来完成的，而自我保护的目的是通过阻止或隐藏注册表来实现的。病毒文件的保护也可以通过基础文件挂钩来实现。另外，为了防止被ARK等分析工具发现，通常会隐藏自己的模块信息。

以“ Blood Fox”病毒为例，通过KeServiceDescriptorTable获取NtLoadDriver函数地址，然后调用硬编码的查找函数4次（ba7011a 4）查找MiProcessLoaderEntry函数，并通过以下方式获取MiProcessLoaderEntry地址调用：搜索以找到链接ARK工具找不到隐藏的模块信息。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-377310-1.html