本文分析了一种恶意软件如何通过替换系统文件netbios.sys来劫持IE浏览器,并强制用户浏览特定网页。该病毒通过复杂的内核级技术手段,如InlineHook IoCreateFile和PsSetCreateProcessNotifyRoutine等,确保其在用户启动IE时能够注入恶意URL。文章最后提供了使用金山网盾3.5或金山急救箱解决问题的方法。
二、简要技术分析(珠海病毒分析组提供)
病毒替换系统的netbios.sys,netbios.sys是一个与网络协议有关的系统文件。
病毒替换系统的netbios.sys,netbios.sys是一个与网络协议有关的系统文件。
(1)InlineHook了IoCreateFile,即在该函数的入口加入E9(JMP),那么每当系统调用IoCreateFile的时候都会跳到病毒的驱动模块中来执行
(2)在执行例程中,病毒首先会判断传入的路径,一旦发现是病毒自身所在的路径,则立即返回,实现对病毒母体文件操作的过滤,一般的用户级程序无法删除或移动netbios.sys; 接下来该驱动中会调用PsSetCreateProcessNotifyRoutine来注册一个NotifyRoutine函数
(3)每当有新的进程创建时,这个NotifyRoutine函数都会被调用到,在这个函数中,病毒会检查进程的路径,一旦发现用户打开的是IEXPLORE.EXE并且该进程的父进程是EXPLORER.EXE or SVCHOST.EXE or LSASS.EXE,那么病毒会首先KeAttachProcess到该进程中,
(4)通过_EPROCESS结构定位到CommandLine,即获取到传入IE浏览器的命令行参数,解密自身的字符串:
http://www.ie7.com.cn,并
调用sprintf将该串入原来的命令行参数中,即命令行参数被修改为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE
http://www.ie7.com.cn
",做完这些坏事后,KeDetachProcess去除进程的附加,此时的IE浏览器就会弹出这个烦人的恶意网址.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
