磁碟机病毒分析

本文详细介绍了磁碟机病毒的行为,包括关闭安全软件、破坏安全模式、修改注册表、自启动机制以及如何感染和传播。病毒会通过U盘、下载器、恶意网站等方式扩散,并能抵御部分杀毒软件。解决方案推荐使用专业的磁碟机病毒专杀工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

病毒简介

这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒,反复写注册表来破坏系统安全模式,病毒会在每个分区下释放 AUTORUN.INF 来达到自运行。

典型磁碟机破坏的表现:

1.     修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。

HKU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden改为0x00000000

2.     删除注册表中关于安全模式的值,破坏安全模式,防止启动到安全模式

HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}  HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}

病毒会反复改写注册表,在病毒被彻底清除之前,使清理专家和AV 终结者专杀等修复安全模式的工具失效。

3.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。

4.修改注册表,令组策略中的软件限制策略不可用。

删除注册表 HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer 键及其子键,使用户设定组策略中的软件限制策略的设置失效。显然该病毒作者是根据部分技术型网友的清除方法作了改进,因为此前有网友建议配置软件限制策略令磁碟机病毒无法运行。

5.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。

6.病毒在每个硬盘分区和可移动磁盘的根目录下释放autorun.infpagefile.pif两个文件,利用双击磁盘或插入移动设备时自动运行功能来达到传播目的。并以独占方式打开这两个文件,使其无法被直接删除、访问和拷贝。

7.病毒为了不让一些安全工具自启动,把注册表的整个RUN项及其子键全部删除,并且删除全部的映象劫持项(意图不明,大概是为了防止一些利用映象劫持的病毒免疫)

8.释放多个病毒执行程序,完成更多任务

%SystemRoot%/system32/Com/smss.exe

  %SystemRoot%/system32/Com/netcfg.000

  %SystemRoot%/system32/Com/netcfg.dll

  %SystemRoot%/system32/Com/lsass.exe

然后运行SMSS.EXE LSASS.EXE,进程中会出现多个smss.exeLSASS.EXE,和系统正常进程同步,以迷惑管理员查看进程。

9.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/BackupRestore/KeysNotToRestore下的Pending RenameOperations字串。

病毒通过修改注册表的来把C:/ 下的0357589.log 文件(0357589是一些不固定的数字 ) 改名到“启动”文件夹下的~.exe.664406.exe (664406 也不固定)

重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run)要高,启动完成后又将自己删除或改名回去。这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来。

10. 病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件。

(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒会感染压缩包内的文件,若机器安装了WinRAR会调用其中rar.exe释放到临时文件夹,感染压缩包内文件再打包。

 11.病毒会自动下载最新版本和其它的一些病毒木马到本地运行,用户最终受损情况,决定于这些木马的行为。

12. 病毒运行后,生成如下文件

  C:/WINNT/system32/Com/LSASS.EXE

  C:/WINNT/system32/Com/netcfg.000

  C:/WINNT/system32/Com/netcfg.dll

  C:/WINNT/system32/Com/SMSS.EXE

  C:/WINNT/system32/894729.log

  C:/WINNT/system32/dnsq.dll

  C:/WINNT/system32/ntfsus.exe

  netcfg.dll负责注入IE并连接网络下载木马

  并注册为浏览器加载项

  [IfObj Control]

  {D9901239-34A2-448D-A000-3705544ECE9D}

  dnsq.dll会插入一些进程,并监控C:/WINDOWS/system32/Com/LSASS.EXE,如果该进程被结束,则立即恢复。

  而且会监控~.exe,如果该文件被删除,立即重写。

  894729.logpagefile.pif文件

  之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用

  以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:/boot.ini,C:/Windows/system32/drivers/hosts

  C:/boot.ini不能写则Xdelbox等软件被废掉。

 病毒传播途径

    1.U/移动硬盘/数码存储卡传播的自动运行

    2.各种木马下载器之间相互传播

    3.通过恶意网站下载

    4.通过感染文件传播

    5.通过内网ARP攻击传播

解决方案

    磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值