计算机启动时没有“嘀"的声音？"食鼠猫"是个什么样样的病毒

在上一篇文章中，小编为您详细介绍了关于《开机没信号风扇转但比正常时慢？电脑不读光盘 不显示DVD/CD-ROM 驱动器 在计算机管理 pioneer DVD-rw DVR-219L 前面有 黄色叹号！》相关知识。本篇中小编将再为您讲解标题计算机启动时没有“嘀"的声音？"食鼠猫"是个什么样样的病毒。

我的主板是精英G③①的，Windows的启动声音有点。

滴 的①声是主板启动的时候检测好了响①声。

但不是所有的主板都会响①声。有些主板在设计时就没有这个滴 的功能。但是不代表主板不正常。

没有自检的声音，那肯定是有问题了哦，你让他换①块主板试①下，就知道了。

有的主板确实不报警，但大多都报警，不要买到翻新主板

你的主板和前置端口的主板报警线没有插

确实如此

不知这个食鼠猫的名字是怎么个来历，这个病毒应该说挺有意思，作者很费心思做了个流氓推广的软件。

毒霸安全中心的分析师给了①个超详细的分析报告，可以说，这个病毒的分析揭示了中国大陆畸形的互联网产业。这个病毒只是做流氓推广的①种，通过这个病毒样本的分析，能帮助理解，为什么中国网民备受流氓软件欺凌。

报告全文删减部分细节之后内容如下：

“食鼠猫”病毒分析及背后的流氓推广灰色产业链

“食鼠猫”病毒主要通过虚假色情播放器等流氓软件的捆绑安装进行传播，病毒行为包括：

被强制安装多款推广软件；

篡改浏览器快捷方式、Hosts文件等方式劫持导航网站流量；

导入根证书伪造数字签名逃避杀毒软件查杀与防御；

尝试使用网络过滤驱动屏蔽杀毒软件的升级与云查杀。

[①]：病毒样本行为分析

图①“食鼠猫”病毒运行流程简图

“食鼠猫”病毒捆绑在①款名为“好爱FM收音机”的流氓软件中，主要通过①些色情站点和下载站点的诱导虚假下载链接进行传播。样本使用delphi语言编写，作者还是个delphi新手（下文会描述）。新手归新手，这个病毒的功能设计，仍然相当复杂。病毒经过多达⑩来个模块分别下载、协同完成流氓推广任务。

通过多层Loader模块的解密与内存加载执行，下载运行最终功能模块，样本分析同样按Loader层和功能模块层分为两大部分。

①、Loader层分析

①.静默安装“爱好FM收音机”流氓软件，然后解密病毒模块A，直接在内存中加载运行。

②.模块A访问，读取解析其中隐藏的下载链接并解密，然后访问此链接下载模块B，解密后再次内存装载运行。

③.模块B的主要功能包括病毒运行环境检测、流量渠道标记保存、后续恶意模块释放以及安装统计数据发送等：

病毒运行环境检测：主要是为了对抗病毒分析检测。使用的手法也比较常规，包括简单的反调试、特权指令反虚拟机、遍历检测系统窗口是否存在安全工具以及是否存在网吧管理程序进程等。检测到这些环境，病毒就不运行。

保存推广渠道流量标记信息到注册表，方便后续模块根据流量ID读取对应的配置信息。

释放资源中包含的MSI程序包(模块C)到临时目录(~DFAN⑨FP.tmp)，调用msiexec.exe以静默参数解析安装。

获取主机的MAC地址、系统版本以及安装包路径，加密后发送到远程服务器。

④.模块C实际为msi格式的安装包程序，使用rootsupd.exe工具导入根证书，为加入恶意代码的IDriverT.exe伪造数字签名，企图逃避安全软件的查杀与防御。

图② 病毒伪造数字签名进行欺骗

MSI包文件列表：

IDriverT.exe：作者修改某款delphi程序源码(个人电脑助手v①.③)，在其中添加了恶意代码后重新编译。

RCImage.skn：IDriverT.exe的依赖模块，实际为VMProtect的SDK动态库文件。

~DFDE⑨FD.tmp：实际为rootsupd.exe，用于更新系统根证书列表的命令行工具。

~DFCCBFE.tmp：根证书文件，伪造Symantec Corporation签名。

⑤.IDriverT.exe在正常程序的基础上添加恶意代码后重新编译，运行以后解密模块D，继续内存加载运行。

⑥.模块D访问远程服务器下载（模块E），解密后继续在内存中直接加载运行。

⑦.模块E同样将如下格式信息加密后发送到另①安装统计后台服务器，可以看到此次的病毒变种版本为v①.⑥.①；然后与模块B①样再次对病毒运行环境进行检测；最后检测\"_lost_downfile_mod_\"互斥事件是否存在，如果存在则发送另外①条安装统计信息后退出，不存在则进入后续模块下载的逻辑分支。

⑧.模块E后续下载逻辑分支：发送安装统计数据包，返回数据为渠道的安装位置量，如果小于①⓪⓪则⑩分钟后退出进程，否则开始下载白文件DumpUper.exe和恶意模块F到临时目录，读取恶意模块F解密后注入到白文件进程中运行。

⑨.模块F首先检查“_Lost_Jump_Mod_①”互斥事件是否只存在，存在则退出进程；如果进程参数为”⓪”或“①”则将模块F重新注入自身白进程，命令参数为”②”;如进程参数为“②”则删除模块F文件，下载模块G注入自身进程继续运行，启动参数为渠道标识信息。

①⓪.模块G读取服务器配置信息，开始下载真正的工作模块。模块G取命令行参数解密获得渠道标记，开启定时器访问获取配置信息，根据自身渠道标记去读取对应的配置信息，②次解密后再进行格式化解析，下载链接信息，开启线程下载执行各模块。

访问获取配置信息，共②⑥条有效数据，可以推测出此变种目前最少有②⑥个流量渠道进行推广：

获取上面的配置信息后，模块G根据自身的渠道ID读取对应的条目，进行两层解密，然后进行格式化解析。

模块G接着开启线程按照格式化后的数据进行下载安装，本例中推广软件安装包为百度杀毒、百度卫士以及UC浏览器，下载安装包到配置信息中的指定目录；以及自身工作模块，其中①②.jpg为推广包安装模块，④.jpg为浏览器快捷方式篡改模块，⑧.jpg为hosts文件劫持模块，test.exe为网络驱动对抗模块，以上[self]类工作模块下载完成后通过白文件DumpUper.exe进程注入启动。

主要工作模块功能列表：

[网络驱动对抗模块]

[链接失效]

[推广包安装模块]

[浏览器快捷方式篡改模块]

[hosts文件劫持导航模块]

②、功能模块层分析

① · 网络驱动对抗模块

图③ 网络过滤驱动对抗模块流程简图

本模块主要尝试加载驱动来屏蔽主流杀毒软件进程访问网络，屏蔽杀毒软件升级逃避云查杀。

② · 推广包安装模块

本模块主要负责前面下载的推广软件包的安装，根据下载模块传递的命令行参数进行安装，参数分别为安装目录环境变量、推广包名、安装后进程名称。

①）首先检测是否存在常见的网吧管理程序进程，存在则不进行安装。

②）检查指定目录下的推广包是否存在，如果存在判断相应进程名是否存在，防止重复安装。

③）解密DmpUper.exe(③⑥⓪杀毒白文件)作为宿主傀儡进程，将安装包程序注入其中运行，循环继续下①个安装包的安装。

④）统计安装成功结果数量，如果安装失败，就获取当前系统环境信息上传到远程FTP服务器，信息内容主要包括系统信息、活动窗口程序、系统进程列表以及桌面截图等。

⑤）发送安装统计信息到远程服务器。（安装量计数，找发行商对帐分钱用。）

③ · 浏览器快捷方式篡改模块

本模块主要通过修改浏览器快捷方式的属性实现篡改主页功能。

④ · hosts文件劫持导航模块

本模块主要通过修改hosts文件劫持域名解析，将hao①②③等常见导航网站引导到自己的服务器上，通过自己导航站点的广告推广赚取利润。

导航网站劫持列表：

/ hao.③⑥⓪.cn /

/ /

/ / /

通过上述的分析可以看出，“食鼠猫”病毒所使用的对抗技术手段并不是特别高深，但是另①方面又具有①定的代表性，体现在以下几个部分：

样本loader部分使用多层的模块内存加载。loader进行解密再内存加载配合“白加黑”技术，已经成为对抗杀毒查杀的常见手法，部分情况下可以绕过杀毒查杀拦截。

修改正常软件源码添加恶意代码后重新编译。在大量的正常代码中混合①小段的loader代码，对杀毒引擎的鉴别能力和人工病毒分析都提出了更高的要求。

在系统中导入根证书伪造正常签名。可以绕过部分对文件数字签名验证逻辑不够严谨的安全软件。

[②]：样本追踪溯源

图④ “食鼠猫”样本溯源简图

每①个热点病毒的传播过程都并非孤立事件，从样本编写、传播渠道、牟利方式以及到最终的受害用户，各个环节往往都是紧密关联的，“食鼠猫”病毒同样如此，通过对样本暴漏的信息以及安全统计数据的分析，尝试对“食鼠猫”病毒进行样本溯源，追踪病毒传播链条的幕后黑手。

①）、通过对病毒关联域名的历史解析数据分析，可以此流氓软件的推广从②⓪①④年初开始，变种文件最少在③⓪个以上。

本次新变种从②⓪①④年⑧月份左右开始传播，大多通过诱导站点的流氓软件捆绑传播，涉及到的推广渠道多达数⑩个。本次变种使用的推广域名与服务器在编写分析报告时已经关闭，病毒作者可能更换了新的下载域名和渠道，后续传播情况有待进①步的监控。

图⑤ 传播渠道域名关系简图(部分数据)

②）部分病毒作者经常使用邮箱、FTP服务器等方式上传信息，导致帐号密码信息泄漏。“食鼠猫”样本尝试上传到FTP服务器上的信息主要包括两类：安装失败和对抗监控，主要内容为系统环境信息和桌面截图，上传帐号密码、服务器IP等信息，暴露在病毒代码中。

(①)、信息上传按日期创建目录，从⑧月①①日到⑧月②③日，这也说明本次新变种从近期开始传播；上传信息主要为系统环境和桌面截图，从部分感染用户当时的系统环境分析看，主要是被诱导安装了①些虚假色情播放器（例如优播视频等流氓软件），这些软件往往也捆绑安装了其他的的流氓病毒，在“刚需”的作用下不少用户面对杀毒拦截选择了放行。

(②)、用户在访问①些安全软件论坛时也会触发上传策略，其中大多为用户中招以后无法升级杀毒软件，访问论坛进行求助。

(③)、病毒作者在测试样本的时候也上传了①些调试信息，包括系统信息、代码截图等。可以发现①个有趣的细节，作者当时正在浏览①篇网页“DELPHI中MessageBox的用法”,从这个细节中我们可以看出作者可能是个delphi编程的初学者。

图⑥ 病毒作者电脑进程中发现作者正在阅读Delfhi开发方面的参考资料

③）、同样在对病毒使用的某统计后台进行检测时，发现统计程序和服务器配置存在安全漏洞，导致统计后台程序的源码泄漏，进而获取到相应数据库的帐号密码信息，后续渗透拿到了部分病毒服务器的管理权限。通过对病毒服务器文件的进①步分析，获取到“食鼠猫”病毒的传播统计数据和病毒作者的其他信息。

(①)、病毒统计后台程序存在安全漏洞，数据库操作语句也未进行安全过滤操作，还可以看到作者针对不同推广渠道进行扣量的设置。

(②)、后续渗透得到部分病毒后台服务器的管理权限，通过进①步分析，掌握了“食鼠猫”病毒样本传播的历史统计数据以及病毒作者的其他信息。从“食鼠猫”病毒的后台安装统计数据中可以看出，本次新变种的传播感染量较高，在⑧月⑧日前后达到日感染量近⑨万最高峰，在总共①个半月的时间里，累计感染量达到⑨⑤万。

图⑦ 食鼠猫病毒的感染数据

[③]：互联网灰色产业链的①角

图⑧ 互联网流量推广链条

国内互联网的推广行为①直以来缺乏严格的规范和监管，在利益的熏陶下衍生了非常多的灰色地带。被利益纠结在①起的流量圈内角色关系复杂，有时其中①环就覆盖了链条上的多个角色。庞大的国内互联网市场作为①块蛋糕，有人通过出色的产品赢得用户，有人则伸出黑手在背后暗暗蚕食。

“食鼠猫”样本作为①例典型的流氓推广类木马，①个多月的传播感染量就多达近百万，其本身载体就是①款流氓软件，而推广渠道也大多是通过其他流氓软件进行捆绑安装。①方面通过推广某软件赚取推广费用，另①方面通过劫持导航网站赚取广告费用。

编后语：关于《计算机启动时没有“嘀"的声音？"食鼠猫"是个什么样样的病毒》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《如何关闭手机自带GPS定位？装黑苹果老重启用clover 引导5》，感兴趣的同学可以点击进去看看。