鬼影病毒分析报告

一、 鬼影病毒概述
这是一个木马下载器，使用了ring3恢复内核钩子、感染磁盘引导区（MBR）、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后，是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。

二、鬼影病毒分析
1 病毒的启动方法
感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断，搜索NTLDR文件（主要目标xp,2003系统） 进行hook---->hook内核函数实现优先加载驱动并执行病毒驱动------>后期其他操作（比如下载盗号木马，统计感染量等）
图1，鬼影病毒感染前后，MBR的变化。

图2 中毒后的磁盘扇区变化示意

2. 生成部分文件
%ProgramFiles%\MSDN\atixx.sys(工作驱动)
%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区)
%ProgramFiles%\MSDN\000000000(木马下载器)
%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本
%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本)
以上文件使用后会自删除。

3. Ring3还原各种钩子
读取原始KiServiceTable表 ，还原SSDT表，其他特定钩子的恢复。

4. 结束卡巴斯基 (R3)
通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710- 42F8ED3E8CDC 使得卡巴进程异常退出。

5. 结束其它杀软(R3)
获取杀毒软件进程的公司名，进行hash运算并跟内置杀软的HASH值进行比较，发现相同就结束进程。
<