病毒简介
这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒,反复写注册表来破坏系统安全模式,病毒会在每个分区下释放 AUTORUN.INF 来达到自运行。
典型磁碟机破坏的表现:
1. 修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。
HKU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden改为0x00000000
2. 删除注册表中关于安全模式的值,破坏安全模式,防止启动到安全模式
HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
病毒会反复改写注册表,在病毒被彻底清除之前,使清理专家和AV 终结者专杀等修复安全模式的工具失效。
3.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
4.修改注册表,令组策略中的软件限制策略不可用。
删除注册表 HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer 键及其子键,使用户设定组策略中的软件限制策略的设置失效。显然该病毒作者是根据部分技术型网友的清除方法作了改进,因为此前有网友建议配置软件限制策略令磁碟机病毒无法运行。
5.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
6.病毒在每个硬盘分区和可移动磁盘的根目录下释放autorun.inf和pagefile.pif两个文件,利用双击磁盘或插入移动设备时自动运行功能来达到传播目的。并以独占方式打开这两个文件,使其无法被直接删除、访问和拷贝。
7.病毒为了不让一些安全工具自启动,把注册表的整个RUN项及其子键全部删除,并且删除全部的映象劫持项(意图不明,大概是为了防止一些利用映象劫持的病毒免疫)。
8.释放多个病毒执行程序,完成更多任务
%SystemRoot%/system32/Com/smss.exe
%SystemRoot%/system32/Com/netcfg.000
%SystemRoot%/system32/Com/netcfg.dll
%SystemRoot%/system32/Com/lsass.exe
然后运行SMSS.EXE 和 LSASS.EXE,进程中会出现多个smss.exe和LSASS.EXE,和系统正常进程同步,以迷惑管理员查看进程。
9.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/BackupRestore/KeysNotToRestore下的Pending RenameOperations字串。
病毒通过修改注册表的来把C:/ 下的0357589.log 文件(0357589是一些不固定的数字 ) 改名到“启动”文件夹下的~.exe.664406.exe (664406 也不固定)。
重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run)要高,启动完成后又将自己删除或改名回去。这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来。
10. 病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件。
(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒会感染压缩包内的文件,若机器安装了WinRAR会调用其中rar.exe释放到临时文件夹,感染压缩包内文件再打包。
11.病毒会自动下载最新版本和其它的一些病毒木马到本地运行,用户最终受损情况,决定于这些木马的行为。
12. 病毒运行后,生成如下文件
C:/WINNT/system32/Com/LSASS.EXE
C:/WINNT/system32/Com/netcfg.000
C:/WINNT/system32/Com/netcfg.dll
C:/WINNT/system32/Com/SMSS.EXE
C:/WINNT/system32/894729.log
C:/WINNT/system32/dnsq.dll
C:/WINNT/system32/ntfsus.exe
netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D}
dnsq.dll会插入一些进程,并监控C:/WINDOWS/system32/Com/LSASS.EXE,如果该进程被结束,则立即恢复。
而且会监控~.exe,如果该文件被删除,立即重写。
894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用
以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:/boot.ini,C:/Windows/system32/drivers/hosts
C:/boot.ini不能写则Xdelbox等软件被废掉。
病毒传播途径
1.U盘/移动硬盘/数码存储卡传播的自动运行
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播
解决方案
磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。