病毒簡(jiǎn)介:
這是一個(gè)下載者病毒,會(huì)關(guān)閉一些安全工具和殺毒軟件并阻止其運(yùn)行運(yùn)行�,并會(huì)不斷檢測(cè)窗口來關(guān)閉一些殺毒軟件及安全輔助工具,破壞安全模式���,刪除一些殺毒軟件和實(shí)時(shí)監(jiān)控的服務(wù)���,遠(yuǎn)程注入到其它進(jìn)程來啟動(dòng)被結(jié)束進(jìn)程的病毒���,反復(fù)寫注冊(cè)表來破壞系統(tǒng)安全模式���,病毒會(huì)在每個(gè)分區(qū)下釋放 AUTORUN.INF 來達(dá)到自運(yùn)行。
病毒功能:
一����、病毒通過修改系統(tǒng)默認(rèn)加載的DLL 列表項(xiàng)來實(shí)現(xiàn)DLL 注入,并在注入后設(shè)置全局鉤子.通過遠(yuǎn)程進(jìn)程注入�,并檢測(cè)是否有相應(yīng)安全軟件和管理工具。通過枚舉進(jìn)程名���,通過搜索以下關(guān)鍵字來關(guān)閉進(jìn)程:
Rav avp twister kv watch kissvc scan guard |
找到帶有關(guān)鍵字的窗口后���,就往目標(biāo)窗口發(fā)送大量的垃圾消息�����,是其無法處理而進(jìn)入假死的狀態(tài)����,當(dāng)目標(biāo)窗口接受到退出���、銷毀和WM_ENDSESSION消息就會(huì)異常退出���。 通過查找窗口文字和和獲得窗口線程進(jìn)程ID等函數(shù)(GetWindowThreadProcessID)監(jiān)控指定文字的窗口,之后會(huì)發(fā)送消息關(guān)閉窗口或者通過Terminate process函數(shù)結(jié)束進(jìn)程����,病毒關(guān)閉殺毒軟件的方法沒有什么創(chuàng)新,但關(guān)鍵字變的更短����,使一些名字相近的進(jìn)程或窗口也被關(guān)閉。
病毒運(yùn)行后�,生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)\~.exe
或者在C:\Documents and Settings\用戶名\「開始」菜單\程序\啟動(dòng)下面
netcfg.dll負(fù)責(zé)注入IE并連接網(wǎng)絡(luò)下載木馬
并注冊(cè)為瀏覽器加載項(xiàng)
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D}
dnsq.dll會(huì)插入一些進(jìn)程,并監(jiān)控C:\WINDOWS\system32\Com\LSASS.EXE,如果該進(jìn)程被結(jié)束�����,則立即恢復(fù)�����。
而且會(huì)監(jiān)控~.exe���,如果該文件被刪除���,立即重寫。
894729.log即pagefile.pif文件
之中還會(huì)在C盤生成一個(gè)驅(qū)動(dòng)��,該驅(qū)動(dòng)應(yīng)該是用于提升權(quán)限所用
以獨(dú)占方式禁止讀取各盤下面的根目錄下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能寫則Xdelbox等軟件被廢掉�。
二�、修改注冊(cè)表破壞文件夾選項(xiàng)的隱藏屬性修改,使隱藏的文件無法被顯示���。
?? HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改為0x00000000
三��、刪除注冊(cè)表里關(guān)于安全模式設(shè)置的值�,使安全模式被破壞���。
刪除如下鍵
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
病毒會(huì)反復(fù)改寫注冊(cè)表�����,在病毒被徹底清除之前����,使清理專家和AV 終結(jié)者專殺等修復(fù)安全模式的工具失效。
四�、在C: 盤目錄下釋放一個(gè) NetApi00.sys 的驅(qū)動(dòng)文件,通過該驅(qū)動(dòng)隱藏和保護(hù)自身�。
五、令軟件限制策略失效
刪除注冊(cè)表 HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer 鍵及其子鍵�����,使用戶設(shè)定組策略中的軟件限制策略的設(shè)置失效��。顯然該病毒作者是根據(jù)部分技術(shù)型網(wǎng)友的清除方法作了改進(jìn)�,因?yàn)榇饲坝芯W(wǎng)友建議配置軟件限制策略 令磁碟機(jī)病毒無法運(yùn)行。
六�����、不斷刪除注冊(cè)表的關(guān)鍵鍵值,來破壞安全模式和殺毒軟件和主動(dòng)防御的服務(wù)��,使很多主動(dòng)防御軟件和實(shí)時(shí)監(jiān)控?zé)o法再被開啟�。
七、病毒在每個(gè)硬盤分區(qū)和可移動(dòng)磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個(gè)文件�����,來達(dá)到自運(yùn)行的目的�。并以獨(dú)占方式打開這兩個(gè)文件,使其無法被直接刪除��、訪問和拷貝��。
八����、病毒為了不讓一些安全工具自啟動(dòng),把注冊(cè)表的整個(gè)RUN項(xiàng)及其子鍵全部刪除�,并且刪除全部的映象劫持項(xiàng)(意圖不明����,大概是為了防止一些利用映象劫持的病毒免疫)。
九��、病毒釋放以下文件:
%SystemRoot%\system32\Com\smss.exe
%SystemRoot%\system32\Com\netcfg.000
%SystemRoot%\system32\Com\netcfg.dll
%SystemRoot%\system32\Com\lsass.exe |
然后運(yùn)行SMSS.EXE 和 LSASS.EXE,進(jìn)程中會(huì)出現(xiàn)多個(gè)smss.exe和LSASS.EXE���,和系統(tǒng)正常進(jìn)程同步����,以迷惑管理員查看進(jìn)程�����。
十�、 病毒通過重啟重命名方式加載,位于注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下的Pending Rename Operations字串��。
病毒通過修改注冊(cè)表的來把C:\ 下的0357589.log 文件(0357589是一些不固定的數(shù)字 ) 改名到"啟動(dòng)"文件夾下的~.exe.664406.exe (664406 也不固定)����。
重啟重命名的執(zhí)行優(yōu)先級(jí)比傳統(tǒng)的自啟動(dòng)(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高,啟動(dòng)完成后又將自己刪除或改名回去��。這種方式自啟動(dòng)極為隱蔽��,現(xiàn)有的安全工具都無法檢測(cè)的出來���。AV終結(jié)者專殺無法徹底清除這個(gè)磁碟機(jī)變種����,正是因?yàn)檫@個(gè)原因!
十一��、 病毒會(huì)自動(dòng)下載最新版本和其它的一些病毒木馬到本地運(yùn)行
十二�、 病毒會(huì)感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件。
并且會(huì)感染壓縮包內(nèi)的文件���,若機(jī)器安裝了WinRAR會(huì)調(diào)用其中rar.exe釋放到臨時(shí)文件夾���,感染壓縮包內(nèi)文件再打包。
這個(gè)病毒太有創(chuàng)意了�,這個(gè)東西可是被很多人忽視的。原來安全的WinRAR壓縮包�,病毒解壓感染過再打包。
感染途徑:
1. 可移動(dòng)磁盤的自運(yùn)行
2. 其它下載者病毒或受感染帶毒文件
3. 惡意網(wǎng)站下載
4. 內(nèi)網(wǎng)ARP攻擊
手動(dòng)清除:
首先把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值刪除掉����,讓它的重啟重命名失效!(懷疑這一招病毒會(huì)很快令其失效����,就和前面一樣���,隔段時(shí)間重復(fù)檢查和刪除這個(gè)鍵值�����。)
然后再把機(jī)子斷電���,或異常重啟(總之不能正常關(guān)機(jī)���!)。
啥�,你不清楚怎么搞?直接拔電源線就是了����。因?yàn)樵摬《拘伦兎N在關(guān)機(jī)的時(shí)候往啟動(dòng)項(xiàng)寫病毒,開機(jī)的時(shí)候自殺����,導(dǎo)致一般殺毒軟件查不到,但非法關(guān)機(jī)可以使它關(guān)機(jī)的時(shí)候生不成病毒����。
重啟后,先別打開盤符��,(用好資源管理器,別習(xí)慣雙擊打開盤符)在 CMD 命令行下將各個(gè)分區(qū)下的 autorun.inf 和 pagefile.pif 文件刪除���。然后使用專殺或殺毒軟件全盤掃描病毒�,因?yàn)樵摬《究梢愿腥境齭yste
關(guān)鍵詞標(biāo)簽:分析,病毒,C:,system3
