kuzzle病毒是什么 kuzzle病毒清除及预防方法
就在近日一个威胁广大用户朋友的病毒再次来袭,但是许多朋友都还不知道kuzzle病毒是什么,kuzzle病毒其实是一款会让电脑直接死机的病毒,用户朋友们也不需要担心,一起来看看kuzzle病毒清除及预防方法吧。
一、概述
近日火绒安全团队截获恶性病毒"Kuzzle"该病毒感染电脑后会劫持浏览器首页牟利火山小视频中申请直播权的具体方法介绍该病毒感染电脑后会劫持浏览器首页牟利同时接受病毒作者的远程指令进行其他破坏活动。"Kuzzle"拥有非常高的技术水平采用多种手段躲避安全软件的查杀甚至盗用知名安全厂商的产品数字签名利用安全软件的"白名单"的信任机制来躲避查杀。更严重的是用户即使重装系统也难以清除该病毒使用户电脑长期处于被犯罪团伙的控制之下。
据火绒安全团队分析"Kuzzle"通过下载站的高速下载器推广传播下载器会默认下载携带病毒的"云记事本"程序。电脑感染病毒后浏览器首页会被劫持谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。
火绒安全团队通过技术溯源发现"Kuzzle"采用多种技术手段躲避安全软件的查杀其中就包括盗用知名安全厂商北信源公司的数字签名。当安全软件检测到该数字签名时会将其误认为是北信源产品自动放过病毒不进行查杀。由于现在行业内的安全软件大多过度倚重白名单技术病毒通过"盗用文件签名"即可将攻破这些安全软件的信任漏洞轻松攻入电脑。
"Kuzzle"通过篡改电脑系统中的主引导记录(MBR)和卷引导记录(VBR)在不修复主引导区情况下用户即使重装系统也无法根除。火绒工程师表示近几年通过MBR、VBR感染进行深度技术对抗的病毒和流氓软件逐渐增多流氓软件已完全病毒化越来越多的使用病毒技术其手段强劲、性质恶劣对用户的危害甚至超过传统病毒。
目前"火绒安全软件"已升级病毒库率先拦截、查杀"Kuzzle"病毒。对于已经感染该病毒的非火绒用户可以下载使用"火绒专杀工具"彻底查杀该病毒。
二、"Kuzzle"通过下载器感染用户计算机MBR和VBR
Bootkit病毒"Kuzzle"伪装成正规软件"云记事本"利用国内几大知名下载站的高速下载器进行推广传播。"Kuzzle"使用两个有效数字签名应用和驱动程序利用"白名单信任漏洞"躲避安全软件防御加载病毒代码。"Kuzzle"病毒作者利用两个有效签名制作了"Kuzzle"病毒的加载模块。被利用的两个有效数字签名分别是"Beijing VRV Software Corporation Limited."和"南京鸿思信息技术有限公司"。
通过分析我们认为这两个有效签名的程序并不是传统的"白文件利用"。而且我们怀疑北信源的有效数字签名被黑客窃取或通过其它方式泄露具体论证详见下文分析。
在病毒分析过程中我们发现该病毒有很强的隐蔽性除签名程序的版权信息伪装和正常程序无异病毒作者甚至还模拟了正常软件应有的功能、并将恶意代码暗藏其中如果不是详细分析很难察觉签名模块中包含的病毒功能。
"云记事本"利用有效数字签名的程序内存加载病毒下载器和病毒安装器的攻击流程是通用的病毒作者可以通过调整云控代码下发任意功能模块到用户电脑执行任意恶意行为。目前我们看到的是通过云控代码感染用户计算机的MBR和VBR主要行为是篡改浏览器主页、劫持导航网站到"https://www.hao123.com/?tn=9******1_hao_pg"。
"Kuzzle"的"Bootkit"模块感染模块兼容XP、Win7、Win10等主流操作系统通过感染计算机MBR和VBR驻留在用户系统中还通过Hook磁盘读写钩子对抗杀软查杀。另外即使用户察觉浏览器异常重装系统也无法彻底清除"Kuzzle"。
"Kuzzle"隐蔽性比之前的被曝光的"暗云"和"异鬼"等Bootkit更强病毒用到的全部数据文件都加密存放在用户硬盘只有在病毒运行时才会在内存解密后加载整个攻击流程病毒文件全程不落地。火绒安全实验室发现近期感染MBR、VBR技术病毒和流氓软件呈逐渐增多的趋势而且下载站已经成为流氓软件和病毒的重要传播渠道。
"Kuzzle"病毒完整的攻击流程如下图所示:
一、概述
近日火绒安全团队截获恶性病毒"Kuzzle"该病毒感染电脑后会劫持浏览器首页牟利同时接受病毒作者的远程指令进行其他破坏活动。"Kuzzle"拥有非常高的技术水平采用多种手段躲避安全软件的查杀甚至盗用知名安全厂商的产品数字签名利用安全软件的"白名单"的信任机制来躲避查杀。更严重的是用户即使重装系统也难以清除该病毒使用户电脑长期处于被犯罪团伙的控制之下。
据火绒安全团队分析"Kuzzle"通过下载站的高速下载器推广传播下载器会默认下载携带病毒的"云记事本"程序。电脑感染病毒后浏览器首页会被劫持谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。
火绒安全团队通过技术溯源发现"Kuzzle"采用多种技术手段躲避安全软件的查杀其中就包括盗用知名安全厂商北信源公司的数字签名。当安全软件检测到该数字签名时会将其误认为是北信源产品自动放过病毒不进行查杀。由于现在行业内的安全软件大多过度倚重白名单技术病毒通过"盗用文件签名"即可将攻破这些安全软件的信任漏洞轻松攻入电脑。
"Kuzzle"通过篡改电脑系统中的主引导记录(MBR)和卷引导记录(VBR)在不修复主引导区情况下用户即使重装系统也无法根除。火绒工程师表示近几年通过MBR、VBR感染进行深度技术对抗的病毒和流氓软件逐渐增多流氓软件已完全病毒化越来越多的使用病毒技术其手段强劲、性质恶劣对用户的危害甚至超过传统病毒。
目前"火绒安全软件"已升级病毒库率先拦截、查杀"Kuzzle"病毒。对于已经感染该病毒的非火绒用户可以下载使用"火绒专杀工具"彻底查杀该病毒。
二、"Kuzzle"通过下载器感染用户计算机MBR和VBR
Bootkit病毒"Kuzzle"伪装成正规软件"云记事本"利用国内几大知名下载站的高速下载器进行推广传播。"Kuzzle"使用两个有效数字签名应用和驱动程序利用"白名单信任漏洞"躲避安全软件防御加载病毒代码。"Kuzzle"病毒作者利用两个有效签名制作了"Kuzzle"病毒的加载模块。被利用的两个有效数字签名分别是"Beijing VRV Software Corporation Limited."和"南京鸿思信息技术有限公司"。
通过分析我们认为这两个有效签名的程序并不是传统的"白文件利用"。而且我们怀疑北信源的有效数字签名被黑客窃取或通过其它方式泄露具体论证详见下文分析。
在病毒分析过程中我们发现该病毒有很强的隐蔽性除签名程序的版权信息伪装和正常程序无异病毒作者甚至还模拟了正常软件应有的功能、并将恶意代码暗藏其中如果不是详细分析很难察觉签名模块中包含的病毒功能。
"云记事本"利用有效数字签名的程序内存加载病毒下载器和病毒安装器的攻击流程是通用的病毒作者可以通过调整云控代码下发任意功能模块到用户电脑执行任意恶意行为。目前我们看到的是通过云控代码感染用户计算机的MBR和VBR主要行为是篡改浏览器主页、劫持导航网站到"https://www.hao123.com/?tn=9******1_hao_pg"。
"Kuzzle"的"Bootkit"模块感染模块兼容XP、Win7、Win10等主流操作系统通过感染计算机MBR和VBR驻留在用户系统中还通过Hook磁盘读写钩子对抗杀软查杀。另外即使用户察觉浏览器异常重装系统也无法彻底清除"Kuzzle"。
"Kuzzle"隐蔽性比之前的被曝光的"暗云"和"异鬼"等Bootkit更强病毒用到的全部数据文件都加密存放在用户硬盘只有在病毒运行时才会在内存解密后加载整个攻击流程病毒文件全程不落地。火绒安全实验室发现近期感染MBR、VBR技术病毒和流氓软件呈逐渐增多的趋势而且下载站已经成为流氓软件和病毒的重要传播渠道。
"Kuzzle"病毒完整的攻击流程如下图所示:
△"Kuzzle"病毒的攻击流程
1.通过下载器推广"Kuzzle"
火绒安全实验室发现某款"高速下载器"推广程序中包含恶性Bootkit病毒"Kuzzle"。该病毒"伪装"成名为"云记事本"的正常应用。为了达到欺骗效果安装后的"云记事本"还提供文本编辑功能如果用户直接启动"云记事本"安装程序则不会下载执行病毒代码。
△下载器推广病毒"云记事本"
但是使用"高速下载器"在后台安装时"下载器"会根据网络上配置的文件"kpazq5.ini"为"云记事本"安装程序添加安装参数"-silent"。
△配置文件
"云记事本"安装程序会判断启动参数。安装程序根据该标志位执行不同流程如果使用参数"-silent"启动就会执行病毒下载和安装流程如下图所示:
△病毒安装流程
安装程序在执行病毒下载流程时会检测用户计算机是否包含"ksafesvc.exe"和"baidusdsvc.exe"两个进程如果存在任意一个进程安装程序就会设置标志位"g_bflags"(如下图所示)。该标志位决定安装包释放的"病毒下载器"文件"net.dat"是由"云记事本"安装包加载还是由另一个带有有效数字签名"pdfsvr.exe"程序加载这样做的目的是为了利用这些安全软件的"白名单信任漏洞"。
△检测金山和百度
"pdfsvr.exe"的有效数字签名如下图所示:
△pdfsvr.exe的数字签名
2.安装包分析
"云记事本"安装程序"calsp_820.exe"是一个病毒释放器程序包含四个类型为IMAGEFILE的资源文件如下图:
△calsp_820.exe资源文件
这些资源文件和病毒释放器释放的文件对应关系如下表后文会对文件有详细分析。
△资源文件说明
病毒释放器"calsp_820.exe"在释放以上资源时才会还原原始资源文件头4个字节如下图:
△还原文件前4个字节
病毒释放器中不同资源文件的详细分析:
(1)IMAGEFILE1442052资源对应文件setup.dat该文件还原之后是Notepad2CN的cab自解压包。
△setup.dat文件
(2)IMAGEFILE1452052资源对应文件upsoar.ini文件是"云记事本"的配置文件。
(3)IMAGEFILE1512052资源对应文件pdfsvr.exe"pdfsvr.exe"有"南京鸿思信息技术有限公司"的有效数字签名详细信息描述为"龙易PDF升级维护服务"但是在网络中我们找不到该程序相关信息。安装包启动检测到系统存在ksafesvc.exe和baidusdsvc.exe这两个进程后才会释放"pdfsvr.exe"并且使用"/service"参数执行。如下图:
△带参数启动pdfsvr.exe文件
(4)IMAGEFILE1552052资源对应文件"net.dat"是一个加密的二进制文件。还原后就是安装包中最关键的病毒下载器程序。"net.dat "被安装程序"calsp_820.exe"或者"pdfsvr.exe"在内存解密后执行病毒代码完成后续的"Kuzzle"下载和安装流程。解密后的net.dat文件全程不落地只在内存中出现通过调试手段保存后的文件信息如下图:
△net.dat文件
3.病毒下载器加载流程分析
云记事本安装包"calsp_820.exe"和龙易PDF升级维护服务程序"pdfsvr.exe"使用相同的解密Key"0x3B"还原同为0x270的ShellCode代码解密后的ShellCode代码完全相同主要负责在内存中加载、解密病毒释放器释放的"net.dat"文件调用解密后的PE入口点。还原ShellCode的代码如下:
△相同的ShellCode代码
内存中的ShellCode负责加载和解密"net.dat"文件的代码如下:
△加载和解密"net.dat"文件
最终在内存中执行病毒下载器入口代码。
三、中毒后现象
病毒为了保护自己的MBR和VBR代码不被安全软件检测到还会修改Disk.sys的IRP读写操作当任意程序试图读取MBR或者VBR时都会返回没有被病毒修改的原始MBR和VBR。
△修改Disk.sys的IRP读写操作
系统启动后病毒会通过注册进程通知和映像通知在浏览器启动时向浏览器中注入一个病毒动态库文件下文简称Injector.dll。火绒剑检测"内核通知"如下图所示:
△内核通知
如果是Win7以上系统最终要劫持到的网址保存在系统盘符下"ProgramDataSoftSecuritysnock.cfg"文件中其中deliver 为加密后的网址解密方法为每个字节加0xfc保留一字节大小snock.cfg文件内容如下图所示:
△snock.cfg文件