360發(fā)布“BMW病毒”技術(shù)分析報(bào)告

a1234567mdy

http://bbs.#/4005462/251096134.html?recommend=1

360發(fā)布“BMW病毒”技術(shù)分析報(bào)告

來(lái)源：360安全中心　 發(fā)布日期：2011-09-02　 已有16條評(píng)論   我要評(píng)論

　　BMW病毒是360安全中心最新捕獲的一款高危病毒，該病毒能夠連環(huán)感染BIOS（主板芯片程序）、MBR（硬盤主引導(dǎo)區(qū)）和Windows系統(tǒng)文件，使受害電腦無(wú)論重裝系統(tǒng)、格式化硬盤，還是換掉硬盤都無(wú)法徹底清除病毒。

　　病毒傳播途徑

　　捆綁游戲外掛，欺騙用戶關(guān)閉安全軟件后實(shí)施攻擊。

　　病毒中招現(xiàn)象

　　一、Windows系統(tǒng)啟動(dòng)前，電腦屏幕顯示"Find it OK!"字樣；
　　二、殺毒軟件反復(fù)提示“硬盤引導(dǎo)區(qū)病毒”卻無(wú)法徹底清除；
　　三、瀏覽器主頁(yè)被篡改為http://10554.new93.com/index.htm

　　病毒防治方案

　　用戶電腦在正常開(kāi)啟360安全衛(wèi)士的情況下，能夠防御BMW病毒，使其無(wú)法感染主板BIOS芯片和硬盤MBR；

　　如果有網(wǎng)民電腦因關(guān)閉安全軟件而被BMW病毒感染，可下載使用360“BMW病毒專殺工具”，能夠檢測(cè)病毒并阻止BIOS病毒代碼回寫MBR，再配合360系統(tǒng)急救箱進(jìn)行修復(fù)，可有效防范此類病毒反復(fù)發(fā)作。下載地址：http://bbs.#/4005462/251088932.html

　　以下為BMW病毒的技術(shù)分析

　　BMW病毒主體分為BIOS、MBR和Windows三個(gè)部分，攻擊流程如下圖：
　　

　　一、BMW病毒BIOS部分
　　

　　增加了ISA模塊BIOS部分，名為HOOK.ROM，作用主要是檢測(cè)MBR部分是否被修復(fù)。如果發(fā)現(xiàn)MBR部分已被修復(fù)，就將BIOS內(nèi)的病毒代碼約14個(gè)扇區(qū)寫入MBR中，導(dǎo)致用戶反復(fù)格式化、高格低格，或重新分區(qū)都無(wú)效。

　　二、BMW病毒MBR部分

　　MBR部分病毒代碼執(zhí)行后，會(huì)從第2個(gè)扇區(qū)開(kāi)始讀6個(gè)扇區(qū)的病毒代碼到0X7C00處，然后跳至該處執(zhí)行，然后讀取第7個(gè)扇區(qū)中的備份MBR到內(nèi)存中，驗(yàn)證扇區(qū)的有效性；

　　通過(guò)驗(yàn)證后，讀取分區(qū)表中的引導(dǎo)扇區(qū)所在的扇區(qū)到0X7C00處，驗(yàn)證引導(dǎo)分區(qū)的有效性；

　　通過(guò)驗(yàn)證后，判斷引導(dǎo)分區(qū)的類型，目前該病毒支持NTFS和FAT32，根據(jù)不同的分區(qū)類型進(jìn)行不同的處理，再經(jīng)過(guò)解析文件系統(tǒng)找到文件所在扇區(qū)，找 到相應(yīng)的Windows系統(tǒng)文件讀取PE信息判斷其是否被感染過(guò)。（XP/2003系統(tǒng)為Winlogon.exe，Win7/Vista系統(tǒng)為 Wininit.exe）

　　如果Windows系統(tǒng)文件已被感染，則在屏幕上顯示"Find it OK!"，然后調(diào)入原始MBR，跳到原始MBR處執(zhí)行；如果Windows系統(tǒng)文件沒(méi)有被感染，則進(jìn)行PE感染寫扇區(qū)，之后在屏幕上顯示"Find it OK!"，然后調(diào)入原始MBR，跳到原始MBR處執(zhí)行。
　　

　　三、BMW病毒W(wǎng)indows部分（Winlogon和Wininit文件執(zhí)行感染）

　　以Winlogon.exe為例進(jìn)行說(shuō)明：

　　由于病毒修改了該文件入口點(diǎn)，當(dāng)文件執(zhí)行時(shí)首先執(zhí)行加密過(guò)的病毒代碼，運(yùn)行時(shí)動(dòng)態(tài)解碼。

　　病毒代碼解密后加載指定文件，創(chuàng)建病毒調(diào)用CreateThread創(chuàng)建線程，同時(shí)跳回原始入口點(diǎn)執(zhí)行。

　　在病毒線程里先Sleep10秒，然后調(diào)用URLDownloadToFileA從黑客服務(wù)器下載一個(gè)Downloader到本地，驗(yàn)證文件下載成功 后，調(diào)用WinExec執(zhí)行，從而下載運(yùn)行多種惡意程序；該病毒還會(huì)下載驅(qū)動(dòng)，命名為c:\my.sys，由之前的病毒代碼通過(guò)一系列服務(wù)函數(shù)來(lái)創(chuàng)建加載 驅(qū)動(dòng)，完成后該病毒線程進(jìn)入無(wú)限Sleep狀態(tài)。