| 病毒分类 |
WINDOWS下的PE病毒 |
病毒名称 |
Win32.MGF.4768 |
| 别
名 |
莫国防 |
病毒长度 |
4768字节
|
| 危害程度 |
|
传播途径 |
|
| 行为类型 |
WINDOWS下的PE病毒 |
感
染 |
|
| 病毒发作 |
|
瑞 星 版 本 号
|
15.65.20.04
|
病毒名称:Win32.MGF.4768,(莫国防 新的变种)
病毒代码长度:4768 字节。
简介:感染PE文件的病毒,实现了win2000下从Ring 3直接切换到Ring 0级。
传播途径:文件感染、局域网传播、挂结系统常用API:“CreateProcess”。
感染标记:在文件头偏移0x30的三个字节为“MGF”。
感染操作系统:Windows9X、Windows2000、WindowsXP和Windows Server2003。
发作日期: 三、六、九、十二月的 星期五、星期六和星期日。
发作症状: 运行桌面上的程序,首先弹出对话框,
标题为 “莫国防的技术使者之宣言”
正文信息为
“本使者为传播技术而来,已在这里安营扎寨。我无破坏力,你不必担心!”
“致我的偶像比尔.盖茨:你的几个傻瓜手下,轻视我的漏洞报告,你该打他们的PP!
病毒行为的技术分析如下:
一、初始化:
病毒搜索Kernel32.dll的导出节,初始化需要的API函数。重定位返回地址,保证正常返回到宿主文件。
二、准备调用门。
病毒首先搜索Kernel32的地址空间,取得第一个“C3”所在的位置。
接下来,在Win9x下,病毒在GDT(全局描述符表)的尾部添加一项三环程序可以访问的调用门。段选择符是0x0028,
起始地址是前面在Kernel32dll中搜到的地址。
如果操作系统是Win2K,病毒试图使用0x0103作为调用门。这个调用门的起始地址也是前面在Kernel32dll中搜到的地址。
通常,Win2K下三环程序没有权限创建这个调用门。病毒采用特殊的方式创建(参考后面“感染”部分)。
三、驻留:
病毒通过调用门,切换到Ring 0级。病毒在零环没有做任何破坏,只是演示性的读取页表寄存器的的值。
拷贝自身0x740字节到Kernel32的PE文件头后面的空闲区域。
在win9x下,申请系统高端内存(0xC0000000以上);在win2K下,取得User32.dll的PE头后面的空闲区域地址。拷贝自身剩余的
0x740字节到上述内存中。
四、取得运行机会。
在win9x下,病毒保存、替换CreateProcessA的首6字节的指令。
在Win2K下,病毒保存、替换CreateProcessW的首6字节的指令。
这样,当用户打开任何一个应用程序,程序都会跳转到Kernel32中的病毒代码。病毒试图感染相应的PE文件。
因为这个函数是windows操作系统核心函数之一,调用频繁,所以病毒感染起来很快。
不过病毒接管API的手法并不高明,会有遗漏,因为Windows环境是多线程的。
五、感染。
1. 在Win9x下,病毒首先在系统目录下生成病毒文件“UnBlaster.exe”。然后开辟一个单独的线程枚举局域网资源。找到可写目录,
如果恰好用户的系统盘是共享的,病毒就会将系统目录的“UnBlaster.exe"复制到远程主机的启动文件夹中,如下所示。
“X:\WINDOWS\All Users\Start Menu\Programs\启动\UnBlaster.exe”
2. 在Win2K下,第一次运行时,首先感染系统文件“ntldr”。病毒定位到该文件中GDT数据结构中,添加一项Ring 3级的调用门,
地址为前面在Kernel32dll中搜到的地址。下次系统启动,初始化程序会创建该调用门(为0x0103)。 病毒利用这个洞洞,实现从Ring 3
跳转到Ring 0。
“ntldr”负责系统初始化,肩负重任,自身没有校验,也没有被文件保护机制保护。微软的做法的确不妥,怪不得病毒作者
要“打他们的PP”,~-~。
接下来,病毒进行如下感染:
打开注册表下列键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
查询“Desktop”的数据,取得当前用户桌面所对应的路径。 病毒枚举该路径下的所有“lnk”文件,即快捷方式文件。
从中取出相应程序的完整路径,进行感染。
3. 在Win2K下,病毒不感染Windows目录和Program File目录的文件,防止文件保护机制报告异常。
4. 病毒修改PE文件最后一个节,追加4768字节病毒代码。同时修改入口地址,指向病毒。病毒在返回到宿主程序之前,又恢复了PE
头的入口地址和映像大小,手法比较谨慎。
六、在病毒代码中包含病毒及其作者信息
Name: MGF v1.1
(C) NN.CN (P) 2003-10-08
wohoo2002@hotmail.com
|
|
| 备
注 |
|
|
|
|
