盘一盘2018年那些难缠的顽固病毒木马

一、前言

有一类病毒木马令中招者无比头疼，怎么头疼呢，就是普通网友一旦中招，一般的杀毒方法杀不干净。用杀毒软件杀不完，格式化重装行不行？但这类病毒一般网友格式化重装很快发现又来了。什么样的病毒如此顽固，今天让我们来盘一盘。

顽固病毒主要指利用计算机启动后较早的时机获得执行机会，运行在系统底层的Bootkit病毒及Rootkit病毒。Bootkit病毒会感染磁盘MBR、VBR，在系统引导阶段就获得执行控制权，有启动早，隐藏性高等特点。Rootkit病毒在Ring0层执行，有着较高的权限，往往通过挂钩磁盘钩子，注册回调等技术手段实现自保护，有与杀软对抗激烈，变种多等特点。

2018年较为活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等等家族，其中下半年最为活跃的Rootkit病毒家族为独狼家族，仅电脑管家进行披露的独狼家族相关的病毒感染事件就有3例，传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具，从主页锁定，刷量获利到传播盗号木马，到强力破坏杀毒软件功能，可谓是无恶不作。

Bootkit最为活跃的病毒家族为暗云及隐魂系列，其中暗云不仅频繁更换C2网址，还首次发现和Mykings僵尸网络进行捆绑传播，此外国内厂商披露的暗云变种”隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露，其变种“隐蜂”最主要的变现方式也是挖矿。

Bootkit/Rootkit病毒传播渠道可以分为四大类，主要包括盗版Ghost系统、激活 工具 、游戏外挂辅助及下载器、第三方流氓软件，及通过漏洞利用弱口令爆破等传播新方式。值得注意的是，腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测，发现预埋病毒导致的系统异常的下载链接共202个，异常占比高达75%。

本文主要从Bootkit/Rootkit病毒活跃家族、传播渠道、对抗技术、典型案例四个方面盘点2018年病毒的主要态势及变化。

二、2018年活跃 B(R)ootkit病毒家族盘点

Bootkit/Rootkit病毒依然是C端普通用户感染后查杀难度较大的主要病毒类型，2018年较为活跃的Bootkit/Rootkit 病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等家族。

典型的Bootkit/Rootkit病毒感染事件包括：

SQL SEVER弱口令爆破入侵，暗云，Mykings等多个病毒家族捆绑入侵传播事件；

酷玩游戏盒子伪造知名公司数字签名，传播Steam盗号，独狼Rootkit木马事件；

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手；

页游微端《血盟荣耀》强锁主页，劫持50余个知名电商和搜索网站流量 等等。

腾讯御见威胁情报中心对Rootkit病毒的签名信息进行统计，发现Rootkit病毒的签名信息高度集中，部分签名会被泛滥使用，其中以“上海预联软件技术有限公司”及“双双何”最为严重被木马病毒使用的最为广泛。

被病毒滥用签名

对2018年度主要的活跃Bootkit/Rootkit进行统计，其主要的变现获利方式有刷流量，锁主页，恶意推广，网络攻击，挖矿等。其中锁主页仍然是最主要的变现方式，占比高达35%，其次为刷流量及软件推广，占比30%，其中暗云，独狼等家族其主要变现方式就是锁主页及刷量。随着挖矿黑产的兴起，挖矿获利也逐渐增多(占比10%)，如“隐蜂”木马，暗云新变种等Bootkit木马也转投挖矿获利。

顽固木马的主要获利变现方式

三、B(R)ootkit病毒传播渠道

1. 盗版Ghost系统

盗版Ghost系统长期以来一直都是病毒传播的重要载体，更为重要的是，预埋了病毒的盗版Ghost往往利用搜索引擎厂商的广告竞价排名，使得普通网民在搜索“Ghost”系统，“win 7”，“激活工具”等相关关键字时显示在搜索前几名的绝大部分都是带毒的系统，即使网民试图通过搜索引擎搜索“净化版”，展示的搜索结果仍会在靠前的位置展示内嵌病毒的下载链接。

带毒Ghost系统

腾讯御见威胁情报中心对各大站点的Ghost系统进行了检测发现有几个特点：

a. 这些盗版Ghost系统的下载链接会被频繁的更换，其主要目的是为了躲避安全厂商对这些下载链接的报毒提示；
b. 这些带毒的系统绝大部分会利用搜索引擎广告进行推广。由于国内软件使用习惯等原因，普通网民获得这些安装系统的主要途径就是网上搜索，这导致了有重装系统刚需的用户有极大概率会下载这些存在风险的系统而成为受害者；
c. 提供这些Ghost系统的网站基本都在显要位置推带毒系统下载。

腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测，发现预埋病毒导致的系统异常的下载链接共202个，异常占比高达75%，这里的系统异常指由于系统预埋病毒导致的主页被锁定，暗刷流量，流氓推装其他软件等系统异常问题。

异常系统占比

部分问题下载链接及站点

盗版Ghost系统已成病毒传播温床，重要的原因是其背后存在利益驱动。首先是盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装，随后Ghost系统中预装病毒，最终实现软件推广安装，劫持主页等手段进行获利。获利之后再继续加大推广力度，形成一个完整的闭环产业链。

鉴于盗版Ghost系统，各类激活工具已长期频繁地被病毒团伙利用传播，建议网民尽量使用正版软件。

病毒获利链

2. 盗版激活工具、游戏外挂及各类下载器

游戏外挂，各类辅助工具也是病毒传播的重要载体，其目标为游戏玩家，而传播这些外挂辅助工具的主要是各大外挂网站，包括七哥辅助网（ www.52wzlt.cn ）、我爱辅助网（ www.50fzw.com ）、屠城社区等多个游戏辅助网站。

经常被用于和病毒打包捆绑传播的外挂辅助工具包括荒野设备解封器、单板方框透视、DNF梦幻装备、帝王破解版等。2018年披露的通过外挂辅助进行传播的Rootkit/Bootkit包括双枪木马，紫狐，外挂幽灵等病毒家族。

流行的带毒游戏外挂、辅助工具

2018年，被用于传播病毒的激活工具中最活跃的莫过于小马激活工具。激活工具有多个变种，打着win7 激活、系统激活、office激活的名义，换各种马甲传播，病毒文件往往和激活工具捆绑打包，运行后便会染毒。独狼2代就是主要通过激活工具进行传播。

小马激活工具

3. 第三方流氓软件

除了前面提到的的盗版Ghost系统、激活工具、下载器等传播渠道，第三方流氓软件也是Rootkit/Bootkit病毒的重要传播渠道。

第三方流氓软件的主要特点是，这些软件往往都是用户主动去进行下载安装，看起来和正常的软件没什么区别，都有完整的安装及展示界面，但是这些软件却神不知鬼不觉地往用户电脑机器上安装病毒文件，这类传播渠道往往有隐秘性，看起来像“正规”商业软件，用大量网民使用。

这类传播渠道的病毒感染安装主要有两种方式，一种是安装完软件后并不会马上感染病毒，而是过一段时候后通过云端控制或者软件升级的方式下载安装病毒，另一种方式是病毒和软件捆绑安装。

这类传播渠道已成为病毒传播的重要推手，仅仅在2018年下半年，经电脑管家首先进行披露的利用第三方流氓软件传播Rootkit/Bootkit病毒的就有主页保安、血盟荣耀微端、护眼小秘书、酷玩游戏盒、桌面助手等软件。

护眼秘书、血盟荣耀展示界面

4. 利用漏洞、弱口令爆破等传播新方式

通过弱口令爆破，漏洞利用成功后进行投毒，以前这类病毒传播入侵方式更多的是集中于B端企业用户。但近年来随着挖矿病毒、勒索病毒的兴起，挖矿勒索等病毒为了增加查杀难度，获得更早的执行机会，也会和Rootkit/Bootkit这类顽固病毒进行捆绑传播。

其中最为典型的案例如，暗云木马和Mykings僵尸网络捆绑传播，由于暗云木马在系统引导阶段之前就获得了执行机会，其执行时机要比操作系统还要早，这就大大增加了查杀成本和难度，在这次传播事件中，首先是通过SQL SEVER弱密码进行爆破，爆破成功后投放暗云木马、Mykings僵尸病毒，随后Mykings僵尸病毒会利用多种漏洞在内网主动扩散，永恒之蓝、Telnet爆破、FTP爆破等都是病毒传播者最惯用的伎俩。

入侵传播方式

尝试SQLSEVER弱密码爆破

四、对抗技术升级盘点

1. 拦截过滤

Rootkit病毒往往会注册各种各样的回调，或者hook系统相关函数，以在合适的时间点获得执行机会，在回调函数中完成相关的拦截过滤功能。以独狼一代为例，独狼系列病毒家族可以说是病毒高难度对抗的集大成者，这是一个过滤型驱动，具有完善的过滤架构，拦截过滤点包括文件过滤、网络过滤等，下图为过滤点及其使用的技术，及影响风险。

独狼Rootkit过滤点

2. 对抗杀软

Bootkit/Rootkit病毒为了躲避杀软查杀，对抗技术手段有很多，常见的一些对抗手段如下：

道高一尺魔高一丈，杀毒软件和顽固病毒的对抗是一个持续性的过程，每当病毒用一种新的方法来躲避或者绕过杀毒软件查杀的时候，很快杀毒软件也会升级查杀能力对新病毒进行查杀。走投无路了病毒也会放出大招，比如强制重启电脑以阻断查杀过程。

2018年电脑管家披露的主页保安病毒就使用了这种强对抗手段来躲避查杀，其主要逻辑为木马会不断的检查系统启动组注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder下的List键值，系统默认该键值第一项为SystemReserved，如果检查到启动组第一项不是System Reserved则暴力重启电脑，通过OUT指令直接写IO端口0×64实现强制重启，往64号端口写入0xFE后电脑强制重启以阻断杀毒软件查杀

暴力重启电脑

设备占坑

3. 自保护

这里提到的自保护主要指病毒为了防止被用户发现，或被安全研究人员分析透彻，往往会通过一些技术手段来保护自身以加大被发现或被分析的难度。

最常见的自保护对象是病毒文件及对应的注册表项。注册表的保护主要是通过注册cmpcallbakck回调来完成，通过阻止或者隐藏自身注册表以达到自保护的目的。病毒文件的保护也是通过底层的文件钩子来实现。此外为了防止被ARK等分析工具发现往往会隐藏自身的模块信息。

隐藏模块信息

Bootkit的自保护主要是保护自身的MBR或者VBR感染代码及payload不被发现，比如暗云木马会根据磁盘类型和操作系统替换DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函数，实现阻止其他程序读取磁盘1-3F 扇区（MBR）。当检测到读MBR时， 返回一个构造好的正常的MBR作欺骗，检测到写MBR时，则直接pass该操作。

MBR保护挂钩逻辑

五、典型案例

2018年下半年最为活跃的Rootkit病毒家族为独狼家族，仅腾讯电脑管家进行批露的独狼家族相关的病毒感染事件就有3例，传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具，从主页锁定，刷量获利到传播盗号木马，到强力破坏杀毒软件功能，可谓是无恶不作。

Bootkit最为活跃的病毒家族为暗云及隐魂系列，其中暗云不仅频繁更换C2网址，还首次发现和Mykings僵尸网络进行捆绑传播，此外国内厂商披露的暗云变种“隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露，其变种“隐蜂”最主要的变现方式也是挖矿。

1. 独狼Rootkit病毒家族

独狼一代病毒家族最早由腾讯电脑管家于2018年6月披露，独狼一代其传播渠道主要是Ghost系统。腾讯御见威胁情报中心已在不同的Ghost系统中捕获到多个“独狼”系列Rootkit，包括Jomalone系列，chanel系列，Msparser系列，Wdfflk系列，在不同的Ghost系统里会以固定的服务名(如Jomalone)启动，每个系列有多个变种。

独狼系列其PDB信息都是PASS Through.pdb（过滤），都是一个过滤型驱动，具有完善的过滤架构，包括文件过滤、网络过滤、进程创建过滤、注册表过滤、模块加载过滤等。这四个系列中出现最早的是在2017年10月。此外其签名信息都有着高度关联性。

参考链接：

盗版Ghost系统携“独狼”Rootkit来袭，锁定浏览器主页超20款

https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

独狼系列出现时间文件签信息

独狼二代重新拓展了传播渠道，并且各个病毒模块功能都得到进一步改进，传播渠道由单一的Ghost盗版系统传播演变为假冒系统激活工具传播。主要通过静默推广安装浏览器获利，并会锁定23款浏览器主页，将浏览器地址栏锁定为带推广渠道号的网址导航站，和独狼一代一大区别为从纯Rootkit驱动劫持首页，转变为内存解密Payload结合浏览器注入实现，此外还会静默推装浏览器

参考链接：

Rootkit病毒“独狼2”假冒激活工具传播，锁定23款浏览器主页

独狼系列病毒静默安装的浏览器

独狼系列最新变种，会通过“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件传播盗号木马，该木马累计已感染超过5万台电脑。软件运行后会首先下载伪装成WPS的病毒，再下载安装“独狼”Rootkit病毒，最终进行营销推广、恶意推装更多软件来获利。

木马作者疑似伪造“北京方正阿帕比技术有限公司”的相关信息，申请了正规的数字签名，该病毒文件会下载Steam盗号木马，因病毒程序拥有合法数字签名导致多款杀毒软件未及时查杀，这是该病毒感染超过5万电脑的重要原因。

参考链接：

酷玩游戏盒子伪造知名公司数字签名，传播Steam盗号木马

https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

独狼木马执行流程

2. 暗云木马

暗云家族最早由电脑管家于2015年进行披露，18年9月国内安全厂商披露了暗云变种“隐匿者”转投挖矿，病毒暴力破解用户数据库入侵电脑，MBR感染代码获得执行后将恶意代码注入到系统进程中（winlogon或explorer进程），最终恶意代码会下载后门病毒到本地执行，后门病毒会下载执行挖矿相关病毒模块，挖取门罗币。

参考链接：

“隐匿者”病毒团伙技术升级传播病毒

https://www.huorong.cn/info/1536227902151.html

暗云木马挖矿配置信息

腾讯御见威胁情报中心2018年12月监控到暗云最新动态，和Mykings僵尸网络木马捆绑传播，通过MS SQL SEVER弱密码入侵用户机器成功后会执行远程脚本命令，远程脚本执行后会下载多个木马文件到本地执行包括暗云感染器、Mykings僵尸网络木马、Mirai僵尸网络木马。和以往的暗云系列相比，主要变化包括会强制结束包括管家、360等杀软进程，随后注入应用层的payload会根据云端配置文件进行主页锁定及下载执行木马病毒等功能。(参考链接：[5])

弱口令爆破SQL Server服务器，暗云、Mykings、Mirai多个病毒家族结伴来袭

https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

暗云配置文件

3. 隐魂木马家族

隐魂系列最早于2017年进行披露，和暗云系列最大区别为payload的存储区域及hook流程有着较大差异，暗云payload存储在3到63扇区，而隐魂系列存储在磁盘末尾。

隐魂系列最新变种“隐蜂”其主要的变现方式也是挖矿，“隐蜂”挖矿木马在R3层的框架设计比较复杂，整个R3层解压后的模块配置文件总数多达30+，同时引入 LUA 脚本引擎实现灵活的策略控制。

参考链接：

“隐蜂”来袭：全球首例Bootkit级挖矿僵尸网络

https://www.freebuf.com/articles/network/173400.html

“隐魂”木马篡改主页分析

https://www.freebuf.com/articles/system/144792.html

隐魂木马挖矿策略配置

4. 外挂幽灵团伙

2018年10月腾讯御见披露了外挂幽灵团伙，主要通过七哥辅助网（ www.52wzlt.cn ）、我爱辅助网（ www.50fzw.com ）等多个游戏辅助工具（外挂）网站传播“双枪”、“紫狐”等木马。

这些网站提供的多款游戏外挂工具中被捆绑多个恶意程序，主要包括锁主页程序、“双枪”病毒家族和“紫狐”木马家族等等，两个病毒家族影响了全国数以万计的电脑。

参考链接：

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手

游戏外挂捆绑的木马

紫狐是一类利用系统正常”Pending File Rename Operations”机制替换系统文件，实现开机自动启动加载驱动（自动下载软件）的恶意木马，此外木马还会会进行多次删除替换，来创建多次进程链实现断链防止查杀，木马运行后会联网下载推广安装软件来获利。

参考链接：

“紫狐木马”暴力来袭

http://www.360.cn/n/10386.html

安装文件

双枪木马是一类会感染MBR及VBR的Bootkit病毒家族，2018年8月电脑管家监测到该家族新变种，多个外挂网站会传播双枪木马，包括屠城社区、七哥辅助网等，这些网站提供的多款游戏外挂程序中会捆绑安装一款名为“开心输入法”的违规软件，“双枪”木马下载器就隐藏在这款输入法中。

中毒电脑的浏览器主页被锁定为带有“39201”计费编号的网址导航站，同时“双枪”木马变种还会在系统预留后门以窃取用户敏感信息，另外会切断主流杀毒软件的联网功能，会造成杀毒软件升级更新、下载病毒库、下载附加组件、云查杀等等关键功能均被破坏。

参考链接：

“双枪”木马专攻游戏外挂玩家，锁定主页强推开心输入法

https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

双枪木马感染流程

5. 血狐木马

血狐木马通过二次打包并借用第三方渠道假冒传奇微端传播，携带正规白签名，且签名厂商直接伪装国内某知名游戏公司，以此获得渠道商的信任，并因为拥有合法数字签名而容易欺骗杀毒软件。

当用户在电脑安装这个假冒的传奇微端时，病毒随即释放安装血狐Rootkit。当中毒电脑用户启动浏览器访问搜索引擎网站和电商网站时，浏览器URL均被劫持到含病毒作者推广ID的链接，至此，中毒用户的每次访问，均会给病毒作者带来佣金收入。

参考链接：

“血狐”病毒伪装传奇微端

https://mp.weixin.qq.com/s/–n1w4aV0HUNVQUObPVbhg