【警惕】这四大木马一旦中招，极难查杀！

隐蔽而危险的幽灵木马

2017年异常活跃的不止勒索软件，还有一类极为特殊的木马群体，它们盘踞在比Windows系统更早启动的“异度空间”，伺机进行操作，它们通常极其隐蔽，检测难度远远高于普通木马，而且拥有对整个系统和软件的生杀大权。它们就是活跃在BIOS（基本输入输出系统）、MBR（磁盘主引导记录）、VBR(卷引导纪录)等系统空间的“幽灵木马”。

360安全中心在2017年全球率先拦截并查杀了包括“谍影”、“暗云Ⅲ”、“双枪”、“隐魂”等在内的多款幽灵木马。相比于此前，本年度所发现的幽灵木马出现了新的手法和特征，例如直接带已知的漏洞提权，使用MBR、VBR多重感染形成自我保护，此外，今年国内还出现了首例感染UEFI的谍影木马。

下面，就以上述极具代表性的木马为例进行具体分析。

1、谍影：国内首例批量刷机传播的BIOS木马

今年4月，360安全中心接到用户求助，反映其电脑系统自动创建名陌生账号，杀毒软件反复报毒，即使重装系统仍然无法清除木马，与以往的BIOS恶意代码相比，谍影木马具有更强的兼容性和更高的技术水平：

一、主板兼容性强，支持的BIOS版本非常多，是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块，UEFI+GPT模式不受影响。在此前2011年出现的BMW BIOS木马（国外厂商命名为Mebromi），则仅支持感染特定的Award BIOS；

二、系统兼容性强，支持所有主流的32位和64位Windows平台，包括最新的64位Win10，内核无任何实体落地文件。

图一：用户感染谍影木马后症状

详细分析报告：

http://www.freebuf.com/articles/system/133243.html

（可复制链接后到浏览器中查看）

2、暗云Ⅲ：与急救箱进行疯狂查杀对抗

早在2016年12月份，360安全卫士查杀团队首次发现了暗云的新一个变种，这就是今年兴起的暗云Ⅲ木马。此版本跟以往版本最大的不同之处，在于暗云Ⅲ加入了对360急救箱查杀对抗，占位了急救箱的驱动所有设备名。

图二：占坑急救箱设备名，正常为 Device设备，而暗云为Event设备

并且暗云Ⅲ能通过挂钩磁盘StartIO保护自身，去掉了上一个版本Object钩子，保留了DPC保护，在2016年12月，360安全卫士就已经专门为查杀此顽固木马下发了新驱动，一旦发现自身设备名被占用，即判定为暗云Ⅲ设备并开启查杀修复。

图三：DPC保护

详细分析报告：

http://blogs.360.cn/blog/%E6%96%B0%E6%9A%97%E4%BA%91%E6%9C%A8%E9%A9%AC%E5%88%86%E6%9E%90/

（可复制链接后到浏览器中查看）

3 、双枪：首例连环感染MBR和VBR的木马

该木马是目前发现的首例既感染MBR 又感染VBR的顽固木马，“双枪”木马首先感染MBR，MBR加载执行后会进一步感染VBR，VBR启动后释放一个驱动，并从网上下载改首页的木马驱动，而这个驱动将进一步检测MBR的状态。如果MBR被修复或未感染成功则回写MBR重复感染。MBR、VBR和恶意驱动的循环感染形成了木马的三重保护机制，只要有一个没被彻底清除，都可能导致木马原地复活。

被感染的VBR会释放并下载恶意驱动，这个驱动除了判断系统进程，更改并锁定中招电脑所有浏览器的主页外，还具备极强的木马保护功能，与杀软展开强有力的对抗。比如，它启动后就把驱动名指向加白驱动名，以此躲避杀软。

此外，它会保护MBR挂钩磁盘底层设备，对抗杀软的修复；篡改NTFS文件系统的驱动对象派遣函数，并开系统线程保证NTFS上的挂钩不被修复，以免正常进程删除它的木马文件；并且由于该驱动会抢先启动，也使清除木马难度变得更高。

图四：双枪注入的进程名列表

图五：修改主页

详细分析报告：

http://www.freebuf.com/articles/web/140113.html

（可复制链接后到浏览器中查看）

4 、隐魂：查杀难度创史上新高

该木马捆绑在大量色情播放器的安装包中，从而诱导网民下载，入侵后劫持浏览器主页并安插后门实现远程控制。从感染方式上来说，不同于恶意程序直接写入MBR的木马，“隐魂”入侵后选择了关机回调的方式伺机启动。电脑关闭前一刻是不少安全软件的监管盲区，“隐魂”就是趁这个空挡植入磁盘底层。同时，它还启动了多达5个白利用文件，以此与安全软件进行对抗。

从攻击手段上来说，“隐魂”木马使用了多个漏洞组合，这是在以往MBR木马中前所未见的。其中，于2015年曝光的老版本Adobe提权漏洞威力格外惊人，它能绕过不少安全软件直接在内核中执行任意代码，是黑客攻击的一个大杀器。

从反侦察能力上来说，“隐魂”可以说是迄今为止的集大成者，它的写入过程完全依靠驱动，不会留下任何落地驱动文件；它会通过RPC远程调用的方式创建进程，木马源头很难被追溯。更值得一提的是，“隐魂”的执行过程十分复杂，在每次写入动作之前，都会小心翼翼地检测电脑上是否存在网络抓包工具、进程监控工具、调试器、反汇编工具、虚拟机等，如果存在上述情况之一，就会即刻停止感染执行，很大程度上避免了被安全研究者逆向。

除了使用字体提权漏洞外该木马还有如下特点：

（1）隐蔽性极高：“隐魂”木马会通过挂钩磁盘底层驱动实现自我保护，普通的ARK工具或查杀类工具无法深入磁盘底层，难以有效检测到MBR被修改；同时，应用层代码在TimerQueue中调度，目前除了利用调试器进行反复测试外，根本没有其他方法能检测该系统触发机制；另外，内核LoadImage挂钩代码在Nt节的空白区域，这部分在未知内存区域执行的代码也是检测工具的一大盲区。

（2）对抗性极强：为了与检测工具及杀软对抗，“隐魂”使用签名和PDB文件名方式，禁止一系列驱动加载，即使加载成功相关功能函数也会被IAT挂钩。

（3）兼容性极高：“隐魂”是目前支持系统范围最广的MBR木马，从Windows XP到Win10X64位最新系统的均支持，兼容性远远超过2016年开始活跃的暗云Ⅲ木马。隐魂木马将自身挂钩代码插入到Nt节空隙区域，躲避了系统的检测机制暗云系列木马在win10系统上会蓝屏，而隐魂则不会。