就在近日一個(gè)威脅廣大用戶(hù)朋友的病毒再次來(lái)襲,但是許多朋友都還不知道kuzzle病毒是什么,kuzzle病毒其實(shí)是一款會(huì)讓電腦直接死機(jī)的病毒,用戶(hù)朋友們也不需要擔(dān)心,一起來(lái)看看kuzzle病毒清除及預(yù)防方法吧。

 

一、概述

近日，火絨安全團(tuán)隊(duì)截獲惡性病毒"Kuzzle"，該病毒感染電腦后會(huì)劫持瀏覽器首頁(yè)牟利，同時(shí)接受病毒作者的遠(yuǎn)程指令進(jìn)行其他破壞活動(dòng)。"Kuzzle"擁有非常高的技術(shù)水平，采用多種手段躲避安全軟件的查殺，甚至盜用知名安全廠(chǎng)商的產(chǎn)品數(shù)字簽名，利用安全軟件的"白名單"的信任機(jī)制來(lái)躲避查殺。更嚴(yán)重的是，用戶(hù)即使重裝系統(tǒng)也難以清除該病毒，使用戶(hù)電腦長(zhǎng)期處于被犯罪團(tuán)伙的控制之下。

據(jù)火絨安全團(tuán)隊(duì)分析，"Kuzzle"通過(guò)下載站的高速下載器推廣傳播，下載器會(huì)默認(rèn)下載攜帶病毒的"云記事本"程序。電腦感染病毒后，瀏覽器首頁(yè)會(huì)被劫持，谷歌、火狐、360等多款主流瀏覽器都會(huì)被修改為hao123導(dǎo)航站。

火絨安全團(tuán)隊(duì)通過(guò)技術(shù)溯源發(fā)現(xiàn)，"Kuzzle"采用多種技術(shù)手段躲避安全軟件的查殺，其中就包括盜用知名安全廠(chǎng)商北信源公司的數(shù)字簽名。當(dāng)安全軟件檢測(cè)到該數(shù)字簽名時(shí)，會(huì)將其誤認(rèn)為是北信源產(chǎn)品，自動(dòng)放過(guò)病毒，不進(jìn)行查殺。由于現(xiàn)在行業(yè)內(nèi)的安全軟件大多過(guò)度倚重白名單技術(shù)，病毒通過(guò)"盜用文件簽名"，即可將攻破這些安全軟件的信任漏洞，輕松攻入電腦。

"Kuzzle"通過(guò)篡改電腦系統(tǒng)中的主引導(dǎo)記錄（MBR）和卷引導(dǎo)記錄（VBR），在不修復(fù)主引導(dǎo)區(qū)情況下，用戶(hù)即使重裝系統(tǒng)也無(wú)法根除?；鸾q工程師表示，近幾年，通過(guò)MBR、VBR感染進(jìn)行深度技術(shù)對(duì)抗的病毒和流氓軟件逐漸增多，流氓軟件已完全病毒化，越來(lái)越多的使用病毒技術(shù)，其手段強(qiáng)勁、性質(zhì)惡劣，對(duì)用戶(hù)的危害甚至超過(guò)傳統(tǒng)病毒。

目前，"火絨安全軟件"已升級(jí)病毒庫(kù)，率先攔截、查殺"Kuzzle"病毒。對(duì)于已經(jīng)感染該病毒的非火絨用戶(hù)，可以下載使用"火絨專(zhuān)殺工具"徹底查殺該病毒。

 

二、"Kuzzle"通過(guò)下載器感染用戶(hù)計(jì)算機(jī)MBR和VBR

Bootkit病毒"Kuzzle"偽裝成正規(guī)軟件"云記事本"，利用國(guó)內(nèi)幾大知名下載站的高速下載器進(jìn)行推廣傳播。"Kuzzle"使用兩個(gè)有效數(shù)字簽名應(yīng)用和驅(qū)動(dòng)程序，利用"白名單信任漏洞"躲避安全軟件防御，加載病毒代碼。"Kuzzle"病毒作者利用兩個(gè)有效簽名制作了"Kuzzle"病毒的加載模塊。被利用的兩個(gè)有效數(shù)字簽名分別是"Beijing VRV Software Corporation Limited."和"南京鴻思信息技術(shù)有限公司"。

通過(guò)分析我們認(rèn)為，這兩個(gè)有效簽名的程序并不是傳統(tǒng)的"白文件利用"。而且我們懷疑北信源的有效數(shù)字簽名被黑客竊取或通過(guò)其它方式泄露，具體論證詳見(jiàn)下文分析。

在病毒分析過(guò)程中，我們發(fā)現(xiàn)該病毒有很強(qiáng)的隱蔽性，除簽名程序的版權(quán)信息偽裝和正常程序無(wú)異，病毒作者甚至還模擬了正常軟件應(yīng)有的功能、并將惡意代碼暗藏其中，如果不是詳細(xì)分析很難察覺(jué)簽名模塊中包含的病毒功能。

"云記事本"利用有效數(shù)字簽名的程序，內(nèi)存加載病毒下載器和病毒安裝器的攻擊流程是通用的，病毒作者可以通過(guò)調(diào)整云控代碼，下發(fā)任意功能模塊到用戶(hù)電腦執(zhí)行任意惡意行為。目前我們看到的是通過(guò)云控代碼，感染用戶(hù)計(jì)算機(jī)的MBR和VBR，主要行為是篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站到"https://www.hao123.com/?tn=9******1_hao_pg"。

"Kuzzle"的"Bootkit"模塊感染模塊兼容XP、Win7、Win10等主流操作系統(tǒng)，通過(guò)感染計(jì)算機(jī)MBR和VBR駐留在用戶(hù)系統(tǒng)中，還通過(guò)Hook磁盤(pán)讀寫(xiě)鉤子對(duì)抗殺軟查殺。另外，即使用戶(hù)察覺(jué)瀏覽器異常，重裝系統(tǒng)也無(wú)法徹底清除"Kuzzle"。

"Kuzzle"隱蔽性比之前的被曝光的"暗云"和"異鬼"等Bootkit更強(qiáng)，病毒用到的全部數(shù)據(jù)文件都加密存放在用戶(hù)硬盤(pán)，只有在病毒運(yùn)行時(shí)才會(huì)在內(nèi)存解密后加載，整個(gè)攻擊流程病毒文件全程不落地?；鸾q安全實(shí)驗(yàn)室發(fā)現(xiàn)近期感染MBR、VBR技術(shù)病毒和流氓軟件呈逐漸增多的趨勢(shì)，而且下載站已經(jīng)成為流氓軟件和病毒的重要傳播渠道。

 

"Kuzzle"病毒完整的攻擊流程如下圖所示：

 

 

一、概述

近日，火絨安全團(tuán)隊(duì)截獲惡性病毒"Kuzzle"，該病毒感染電腦后會(huì)劫持瀏覽器首頁(yè)牟利，同時(shí)接受病毒作者的遠(yuǎn)程指令進(jìn)行其他破壞活動(dòng)。"Kuzzle"擁有非常高的技術(shù)水平，采用多種手段躲避安全軟件的查殺，甚至盜用知名安全廠(chǎng)商的產(chǎn)品數(shù)字簽名，利用安全軟件的"白名單"的信任機(jī)制來(lái)躲避查殺。更嚴(yán)重的是，用戶(hù)即使重裝系統(tǒng)也難以清除該病毒，使用戶(hù)電腦長(zhǎng)期處于被犯罪團(tuán)伙的控制之下。

據(jù)火絨安全團(tuán)隊(duì)分析，"Kuzzle"通過(guò)下載站的高速下載器推廣傳播，下載器會(huì)默認(rèn)下載攜帶病毒的"云記事本"程序。電腦感染病毒后，瀏覽器首頁(yè)會(huì)被劫持，谷歌、火狐、360等多款主流瀏覽器都會(huì)被修改為hao123導(dǎo)航站。

火絨安全團(tuán)隊(duì)通過(guò)技術(shù)溯源發(fā)現(xiàn)，"Kuzzle"采用多種技術(shù)手段躲避安全軟件的查殺，其中就包括盜用知名安全廠(chǎng)商北信源公司的數(shù)字簽名。當(dāng)安全軟件檢測(cè)到該數(shù)字簽名時(shí)，會(huì)將其誤認(rèn)為是北信源產(chǎn)品，自動(dòng)放過(guò)病毒，不進(jìn)行查殺。由于現(xiàn)在行業(yè)內(nèi)的安全軟件大多過(guò)度倚重白名單技術(shù)，病毒通過(guò)"盜用文件簽名"，即可將攻破這些安全軟件的信任漏洞，輕松攻入電腦。

"Kuzzle"通過(guò)篡改電腦系統(tǒng)中的主引導(dǎo)記錄（MBR）和卷引導(dǎo)記錄（VBR），在不修復(fù)主引導(dǎo)區(qū)情況下，用戶(hù)即使重裝系統(tǒng)也無(wú)法根除?；鸾q工程師表示，近幾年，通過(guò)MBR、VBR感染進(jìn)行深度技術(shù)對(duì)抗的病毒和流氓軟件逐漸增多，流氓軟件已完全病毒化，越來(lái)越多的使用病毒技術(shù)，其手段強(qiáng)勁、性質(zhì)惡劣，對(duì)用戶(hù)的危害甚至超過(guò)傳統(tǒng)病毒。

目前，"火絨安全軟件"已升級(jí)病毒庫(kù)，率先攔截、查殺"Kuzzle"病毒。對(duì)于已經(jīng)感染該病毒的非火絨用戶(hù)，可以下載使用"火絨專(zhuān)殺工具"徹底查殺該病毒。

 

二、"Kuzzle"通過(guò)下載器感染用戶(hù)計(jì)算機(jī)MBR和VBR

Bootkit病毒"Kuzzle"偽裝成正規(guī)軟件"云記事本"，利用國(guó)內(nèi)幾大知名下載站的高速下載器進(jìn)行推廣傳播。"Kuzzle"使用兩個(gè)有效數(shù)字簽名應(yīng)用和驅(qū)動(dòng)程序，利用"白名單信任漏洞"躲避安全軟件防御，加載病毒代碼。"Kuzzle"病毒作者利用兩個(gè)有效簽名制作了"Kuzzle"病毒的加載模塊。被利用的兩個(gè)有效數(shù)字簽名分別是"Beijing VRV Software Corporation Limited."和"南京鴻思信息技術(shù)有限公司"。

通過(guò)分析我們認(rèn)為，這兩個(gè)有效簽名的程序并不是傳統(tǒng)的"白文件利用"。而且我們懷疑北信源的有效數(shù)字簽名被黑客竊取或通過(guò)其它方式泄露，具體論證詳見(jiàn)下文分析。

在病毒分析過(guò)程中，我們發(fā)現(xiàn)該病毒有很強(qiáng)的隱蔽性，除簽名程序的版權(quán)信息偽裝和正常程序無(wú)異，病毒作者甚至還模擬了正常軟件應(yīng)有的功能、并將惡意代碼暗藏其中，如果不是詳細(xì)分析很難察覺(jué)簽名模塊中包含的病毒功能。

"云記事本"利用有效數(shù)字簽名的程序，內(nèi)存加載病毒下載器和病毒安裝器的攻擊流程是通用的，病毒作者可以通過(guò)調(diào)整云控代碼，下發(fā)任意功能模塊到用戶(hù)電腦執(zhí)行任意惡意行為。目前我們看到的是通過(guò)云控代碼，感染用戶(hù)計(jì)算機(jī)的MBR和VBR，主要行為是篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站到"https://www.hao123.com/?tn=9******1_hao_pg"。

"Kuzzle"的"Bootkit"模塊感染模塊兼容XP、Win7、Win10等主流操作系統(tǒng)，通過(guò)感染計(jì)算機(jī)MBR和VBR駐留在用戶(hù)系統(tǒng)中，還通過(guò)Hook磁盤(pán)讀寫(xiě)鉤子對(duì)抗殺軟查殺。另外，即使用戶(hù)察覺(jué)瀏覽器異常，重裝系統(tǒng)也無(wú)法徹底清除"Kuzzle"。

"Kuzzle"隱蔽性比之前的被曝光的"暗云"和"異鬼"等Bootkit更強(qiáng)，病毒用到的全部數(shù)據(jù)文件都加密存放在用戶(hù)硬盤(pán)，只有在病毒運(yùn)行時(shí)才會(huì)在內(nèi)存解密后加載，整個(gè)攻擊流程病毒文件全程不落地。火絨安全實(shí)驗(yàn)室發(fā)現(xiàn)近期感染MBR、VBR技術(shù)病毒和流氓軟件呈逐漸增多的趨勢(shì)，而且下載站已經(jīng)成為流氓軟件和病毒的重要傳播渠道。

 

"Kuzzle"病毒完整的攻擊流程如下圖所示：

 

△"Kuzzle"病毒的攻擊流程

 

1.通過(guò)下載器推廣"Kuzzle"

火絨安全實(shí)驗(yàn)室發(fā)現(xiàn)，某款"高速下載器"推廣程序中包含惡性Bootkit病毒"Kuzzle"。該病毒"偽裝"成名為"云記事本"的正常應(yīng)用。為了達(dá)到欺騙效果，安裝后的"云記事本"還提供文本編輯功能，如果用戶(hù)直接啟動(dòng)"云記事本"安裝程序，則不會(huì)下載執(zhí)行病毒代碼。

 

△下載器推廣病毒"云記事本"

[!--empirenews.page--]

但是使用"高速下載器"在后臺(tái)安裝時(shí)，"下載器"會(huì)根據(jù)網(wǎng)絡(luò)上配置的文件"kpazq5.ini"為"云記事本"安裝程序添加安裝參數(shù)"-silent"。

 

 

△配置文件

"云記事本"安裝程序會(huì)判斷啟動(dòng)參數(shù)。安裝程序根據(jù)該標(biāo)志位執(zhí)行不同流程，如果使用參數(shù)"-silent"啟動(dòng)，就會(huì)執(zhí)行病毒下載和安裝流程，如下圖所示：

 

△病毒安裝流程

 

安裝程序在執(zhí)行病毒下載流程時(shí)，會(huì)檢測(cè)用戶(hù)計(jì)算機(jī)是否包含"ksafesvc.exe"和"baidusdsvc.exe"兩個(gè)進(jìn)程，如果存在任意一個(gè)進(jìn)程，安裝程序就會(huì)設(shè)置標(biāo)志位"g_bflags"（如下圖所示）。該標(biāo)志位決定安裝包釋放的"病毒下載器"文件"net.dat"，是由"云記事本"安裝包加載，還是由另一個(gè)帶有有效數(shù)字簽名"pdfsvr.exe"程序加載，這樣做的目的是為了利用這些安全軟件的"白名單信任漏洞"。

 

△檢測(cè)金山和百度

[!--empirenews.page--]

"pdfsvr.exe"的有效數(shù)字簽名如下圖所示：

 

△pdfsvr.exe的數(shù)字簽名

2.安裝包分析

"云記事本"安裝程序"calsp_820.exe"是一個(gè)病毒釋放器，程序包含四個(gè)類(lèi)型為IMAGEFILE的資源文件，如下圖：

 

△calsp_820.exe資源文件

 

這些資源文件和病毒釋放器釋放的文件對(duì)應(yīng)關(guān)系如下表，后文會(huì)對(duì)文件有詳細(xì)分析。

 

△資源文件說(shuō)明

 

病毒釋放器"calsp_820.exe"在釋放以上資源時(shí)才會(huì)還原原始資源文件頭4個(gè)字節(jié)，如下圖：

 

△還原文件前4個(gè)字節(jié)

 

病毒釋放器中不同資源文件的詳細(xì)分析：

（1）IMAGEFILE1442052資源對(duì)應(yīng)文件setup.dat，該文件還原之后是Notepad2CN的cab自解壓包。

 

△setup.dat文件

 

（2）IMAGEFILE1452052資源對(duì)應(yīng)文件upsoar.ini文件，是"云記事本"的配置文件。

（3）IMAGEFILE1512052資源對(duì)應(yīng)文件pdfsvr.exe，"pdfsvr.exe"有"南京鴻思信息技術(shù)有限公司"的有效數(shù)字簽名，詳細(xì)信息描述為"龍易PDF升級(jí)維護(hù)服務(wù)"，但是在網(wǎng)絡(luò)中我們找不到該程序相關(guān)信息。安裝包啟動(dòng)檢測(cè)到系統(tǒng)存在ksafesvc.exe和baidusdsvc.exe這兩個(gè)進(jìn)程后，才會(huì)釋放"pdfsvr.exe"，并且使用"/service"參數(shù)執(zhí)行。如下圖：

 

△帶參數(shù)啟動(dòng)pdfsvr.exe文件

[!--empirenews.page--]

（4）IMAGEFILE1552052資源對(duì)應(yīng)文件"net.dat"，是一個(gè)加密的二進(jìn)制文件。還原后就是安裝包中最關(guān)鍵的病毒下載器程序。"net.dat "被安裝程序"calsp_820.exe"或者"pdfsvr.exe"在內(nèi)存解密后執(zhí)行病毒代碼，完成后續(xù)的"Kuzzle"下載和安裝流程。解密后的net.dat文件全程不落地，只在內(nèi)存中出現(xiàn)，通過(guò)調(diào)試手段保存后的文件，信息如下圖：

 

△net.dat文件

 

3.病毒下載器加載流程分析

云記事本安裝包"calsp_820.exe"和龍易PDF升級(jí)維護(hù)服務(wù)程序"pdfsvr.exe"使用相同的解密Key"0x3B"，還原同為0x270的ShellCode代碼，解密后的ShellCode代碼完全相同，主要負(fù)責(zé)在內(nèi)存中加載、解密病毒釋放器釋放的"net.dat"文件，調(diào)用解密后的PE入口點(diǎn)。還原ShellCode的代碼如下：

 

△相同的ShellCode代碼

 

內(nèi)存中的ShellCode負(fù)責(zé)加載和解密"net.dat"文件的代碼如下：

 

△加載和解密"net.dat"文件

 

最終在內(nèi)存中執(zhí)行病毒下載器入口代碼。

[!--empirenews.page--]

三、中毒后現(xiàn)象

病毒為了保護(hù)自己的MBR和VBR代碼不被安全軟件檢測(cè)到，還會(huì)修改Disk.sys的IRP讀寫(xiě)操作，當(dāng)任意程序試圖讀取MBR或者VBR時(shí)，都會(huì)返回沒(méi)有被病毒修改的原始MBR和VBR。

 

△修改Disk.sys的IRP讀寫(xiě)操作

 

系統(tǒng)啟動(dòng)后，病毒會(huì)通過(guò)注冊(cè)進(jìn)程通知和映像通知，在瀏覽器啟動(dòng)時(shí)向?yàn)g覽器中注入一個(gè)病毒動(dòng)態(tài)庫(kù)文件，下文簡(jiǎn)稱(chēng)Injector.dll?；鸾q劍檢測(cè)"內(nèi)核通知"如下圖所示：

 

△內(nèi)核通知

 

如果是Win7以上系統(tǒng)，最終要劫持到的網(wǎng)址保存在系統(tǒng)盤(pán)符下"ProgramDataSoftSecuritysnock.cfg"文件中，其中deliver 為加密后的網(wǎng)址，解密方法為每個(gè)字節(jié)加0xfc，保留一字節(jié)大小，snock.cfg文件內(nèi)容如下圖所示：

 

△snock.cfg文件