驅 動 級 隱 藏 木 馬 ( Rootkit ) - PcShare 查 殺 手 記

[psac]

PcShare簡介：

一款電腦遠端控制軟體,採用HTTP反向通信,螢幕資料線傳輸,驅動隱藏連接阜通信程序等技術，達到系統層次的隱藏。類似灰鴿子，由於結合了最新的Rootkit技術，用一般的系統掃瞄軟體如Hijackthis等無法檢測到其木馬服務訊息，最近有氾濫的趨勢...

PcShare樣本(arcldrer.exe)執行後解壓縮文件有：

%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys

插入並啟動IE隱藏工作：

在註冊表中增加了隱藏的驅動服務：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]
指向%SystemRoot%\System32\drivers\Ybfbqufe.sys

如果是XP系統：
修改dmserver服務(監測和監視新硬碟驅動器並向邏輯磁牒管理器管理服務傳送磁碟區的訊息以便組態)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]
指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"

如果此服務被終止，動態磁牒狀態和配置資訊會過時。如果此服務被禁用，任何依賴它的服務將無法啟動。

如果是2000系統：
修改RpcSs服務(Remote Procedure Call Services)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]
指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"

rpcss.exe是微軟Windows操作系統的一部分。它用於本機電腦的遠端程序使用
服務。它是本機網路的公用服務。這個程序對系統的正常執行是非常重要的。

清除(以2000系統為例)：

1,工具準備：由於驅動級(Rootkit)木馬執行層次的特殊性，在正常模式下無論是木馬施放文件還是對於註冊表的改動都是無法觀測到的，從而達到木馬隱藏的目的，要偵測到隱藏的訊息，我們需要借用同樣內核級的工具-IceSword，其使用了大量新穎的內核技術，使得這些後門無處可躲，具備反隱藏、反保護的功能，基本上所有的木馬都可以檢測出來。最新版本下載位址：ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.12.rar

通過IceSword工作檢視功能即可看到隱藏的木馬工作(圖中紅色顯示)：
通過IceSword的SSDT(系統服務描述符表)檢視功能可檢視到隱藏的木馬驅動：
2，由於木馬工作的保護功能，我們首先需要在IceSword的文件-設定下勾選相關功能
3,設定完畢後結束掉木馬工作，利用IceSword註冊表編輯功能，分別定位註冊表到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]
並移除Ybfbqufe主鍵。
4，利用IceSword文件檢視功能，找到以下文件並移除：
%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll

移除：
%System32%\drivers\Ybfbqufe.sys

5，恢復註冊表中的服務改動，分別定位註冊表到：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]
將"ServiceDll"="%System32%\Ybfbqufe.d1l"修改為正常的目錄文件"ServiceDll"="%System32%\rpcss.d1l"

XP系統需要恢復的註冊表為：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]
正常的目錄文件應為"ServiceDll"="%SystemRoot%\System32\dmserver.dll"
6，重啟系統後免疫：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]不存在的話，PcShare服務端就發生異常終止執行(本人未經證實)，所以我們只要移除註冊表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]主鍵就可以達到免疫的效果了。

總結：

清除此類驅動級木馬，關鍵是對於隱藏工作的檢視於結束和註冊表服務項的移除，對於被木馬篡改的系統服務，在不確定的狀況下，建議搜尋相關確定訊息或找相同系統機器檢視再做恢復。

附Rootlit技術簡介:

如自然界的規則一樣，最流行的病毒，對生物的傷害卻是最小的，例如一般的感冒，但是最不流行的病毒，卻是最奪命的。Rootkit木馬就是訊息世界裡的AIDS，一旦感染，就難以用一般手段消滅了，因為它和自然界裡的同類做的事情一樣，破壞了系統自身檢測的完整性——拋開術語的描述也許難以理解，但是可以配合AIDS的圖片想像一下，由於AIDS破壞了人體免疫系統，導致白細胞對它無能為力，只能眼睜睜看著人體機能被慢慢破壞。電腦系統沒有免疫功能，但是它提供了對自身環境的相關檢測功能——枚舉工作、文件列表、等級權限保護等，大部分殺毒軟體和工作工具都依賴於系統原有的的檢測功能才得以運作，而Rootkit木馬要破壞的，正是這些功能。
要瞭解Rootkit木馬的原理，就必須從系統原理說起，我們知道，操作系統是由內核（Kernel）和外殼（Shell）兩部分組成的，內核負責一切實際的工作，包括CPU工作調度、記憶體分配管理、設備管理、文件操作等，外殼是關於內核提供的交互功能而存在的界面，它負責指令傳送和解釋。由於內核和外殼負責的工作不同，它們的處理環境也不同，因此處理器提供了多個不同的處理環境，把它們稱為執行等級（Ring），Ring讓程序指令能訪問的電腦資源依次逐級遞減，目的在於保護電腦遭受意外損害——內核執行於Ring 0等級，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3等級，這個等級能操作的功能極少，幾乎所有指令都需要傳送給內核來決定能否執行，一旦發現有可能對系統造成破壞的指令傳送（例如超越指定範圍的記憶體讀寫），內核便返回一個「非法越權」標誌，傳送這個指令的程序就有可能被終止執行，這就是大部分一般的「非法操作」的由來，這樣做的目的是為了保護電腦免遭破壞，如果外殼和內核的執行等級一樣，用戶一個不經意的點擊都有可能破壞整個系統。
由於Ring的存在，除了由系統內核載入的程序以外，由外殼使用執行的一般程序都只能執行在Ring 3等級，也就是說，它們的操作指令全部依賴於內核使用權的功能，一般的工作檢視工具和殺毒軟體也不例外，由於這層機制的存在，我們能看到的工作其實是內核「看到」並通過相關接頭指令（還記得API嗎？）反饋到應用程式的，這樣就不可避免的存在一條資料通道，雖然在一般情況下它是難以被篡改的，但是不能避免意外的發生，Rootkit正是「製造」這種意外的程序。簡單的說，Rootkit實質是一種「越權執行」的應用程式，它設法讓自己達到和內核一樣的執行等級，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問權限，因而可以對內核指令進行修改，最一般的是修改內核枚舉工作的API，讓它們返回的資料始終「遺漏」Rootkit自身工作的訊息，一般的工作工具自然就「看」不到Rootkit了。更進階的Rootkit還篡改更多API，這樣，用戶就看不到工作（工作API被攔截），看不到文件（文件讀寫API被攔截），看不到被開啟的連接阜（網路元件Sock API被攔截），更攔截不到相關的網路資料包（網路元件NDIS API被攔截）了，幸好網路設備的資料指示不受內核控制，否則恐怕Rootkit要讓它也不會亮了才好！我們使用的系統是在內核功能支持下運作的，如果內核變得不可信任了，依賴它執行的程序還能信任嗎？但即使是Rootkit這一類恐怖的寄生蟲，它們也並非所向無敵的，要知道，既然Rootkit是利用內核和Ring 0配合的欺騙，那麼我們同樣也能使用可以「越權」的檢查程序，繞過API提供的資料，直接從內核領域裡讀取工作列表，因為所有工作在這裡都不可能把自己隱藏，除非它已經不想執行了。也就是說，內核始終擁有最真實的工作列表和主宰權，只要能讀取這個原始的工作列表，再和工作API枚舉的工作列表對比，便能發現Rootkit工作，由於這類工具也「越權」了，因而對Rootkit進行查殺也就不再是難事，而Rootkit工作一旦被清除，它隱藏自身的措施也就不復存在，內核就能把它「供」出來了，用戶會突然發現那個一直「找不到」的Rootkit程式文件已經老實的呆在文件管理器的視圖裡了。這類工具現在已經很多，例如IceSword、Patchfinder、gdb等。


本人特別為FF提供交流群5個：
1號群：10191981
2號群：18067770
3號群：8724895
4號群：16026681
5號群：2743627【以滿】

[虛虛]

引用:

作者: psac

PcShare簡介：

一款電腦遠端控制軟體,採用HTTP反向通信,螢幕資料線傳輸,驅動隱藏連接阜通信程序等技術，達到系統層次的隱藏。類似灰鴿子，由於結合了最新的Rootkit技術，用一般的系統掃瞄軟體如Hijackthis等無法檢測到其木馬服務訊息，最近有氾濫的趨勢...

PcShare樣本(arcldrer.exe)執行後解壓縮文件有：

%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys

插入並啟動IE隱藏工作：

在註冊表中增?

指向%SystemRoot%\System32\drivers\Ybfbqufe.sys

如果是XP系統：
修改dmserver服務(監測和監視新硬碟驅動器並向邏輯磁牒管理器管理服務傳送磁碟區的訊息以便組態)：



指向病毒文件：...

感謝分享,原來大大也玩qq群喔!
有機會交流一下,小弟也管理兩個qq群呢!