Morphex准确的来说是某一病毒家族对代码的保护方式,用各种复杂的变换以及反调式来保护病毒代码。在对此家族代码的分析过程中我们可以发现以下字符串“My name is Morphex”,如下图所示:
在2011年早些的时候利用Morphex方式来加载的U盘病毒曾经登上了病毒排行榜的榜首,而近几天,AVG中国病毒实验室也持续在国内监测到大量的利用此类方式保护的病毒样本,通过分析,此病毒注入的方式和著名的duqu病毒其中的一个组件非常相似:先是创建正常的svchost进程,利用“DONT_RESOLVE_DLL_REFERENCES”标志来加载一个空的svchost进程,并且获得目标进程代码执行的入口地址,然后向目标进程中写入恶意的代码,并且覆盖svchost进程代码的入口。
此时svchost进程将成为一个“傀儡进程”,然而在系统内存中不会存在任何病毒的进程和恶意的dll文件。用以躲避杀毒软件的扫描。
感染Morphex新变种的用户,极有可能成为僵尸网络中的一员,俗称“肉鸡”:在服务器的下载新的病毒,发起网络攻击,或者发送垃圾邮件等等。此变种会通过svchost傀儡进程和以下服务器进行(不限于以下)通讯:
· slade.safehousenumber.com
· murik.portal-protection.net.ru
· world.rickstudio.ru
· banana.cocolands.su
· portal.roomshowerbord.com
同时病毒会将自身释放到%UserProfile%\目录下,病毒名称是5位的随机字符组成。并且通过以下注册表项“Taskman”实现自启动,详细情况如下图所示:
用户可以通过检查此注册表项目来确定自己是否感染了Morphex病毒。目前AVG已经加入对此家族病毒最新变种的检测,AVG提醒您注意:新版的Morphex病毒没有太多的华而不实行为,但总体来说潜在的威胁非常大,并且隐蔽性极强。安装AVG客户端的用户能够得到及时有效的保护。