Morphex准確的來說是某一病毒家族對代碼的保護方式,用各種復雜的變換以及反調式來保護病毒代碼。在對此家族代碼的分析過程中我們可以發現以下字符串“My name is Morphex”,如下圖所示:
在2011年早些的時候利用Morphex方式來加載的U盤病毒曾經登上了病毒排行榜的榜首,而近幾天,AVG中國病毒實驗室也持續在國內監測到大量的利用此類方式保護的病毒樣本,通過分析,此病毒注入的方式和著名的duqu病毒其中的一個組件非常相似:先是創建正常的svchost進程,利用“DONT_RESOLVE_DLL_REFERENCES”標志來加載一個空的svchost進程,並且獲得目標進程代碼執行的入口地址,然後向目標進程中寫入惡意的代碼,並且覆蓋svchost進程代碼的入口。
此時svchost進程將成為一個“傀儡進程”,然而在系統內存中不會存在任何病毒的進程和惡意的dll文件。用以躲避殺毒軟件的掃描。
感染Morphex新變種的用戶,極有可能成為僵屍網絡中的一員,俗稱“肉雞”:在服務器的下載新的病毒,發起網絡攻擊,或者發送垃圾郵件等等。此變種會通過svchost傀儡進程和以下服務器進行(不限於以下)通訊:
•slade.safehousenumber.com
•murik.portal-protection.net.ru
•world.rickstudio.ru
•banana.cocolands.su
•portal.roomshowerbord.com
同時病毒會將自身釋放到%UserProfile%\目錄下,病毒名稱是5位的隨機字符組成。並且通過以下注冊表項“Taskman”實現自啟動,詳細情況如下圖所示:
用戶可以通過檢查此注冊表項目來確定自己是否感染了Morphex病毒。目前AVG已經加入對此家族病毒最新變種的檢測,AVG提醒您注意:新版的Morphex病毒沒有太多的華而不實行為,但總體來說潛在的威脅非常大,並且隱蔽性極強。安裝AVG客戶端的用戶能夠得到及時有效的保護。