病毒簡介:
這是一個下載者病毒����,會關(guān)閉一些安全工具和殺毒軟件并阻止其運行運行�,并會不斷檢測窗口來關(guān)閉一些殺毒軟件及安全輔助工具,破壞安全模式�����,刪除一些殺毒軟件和實時監(jiān)控的服務(wù)�,遠程注入到其它進程來啟動被結(jié)束進程的病毒,反復(fù)寫注冊表來破壞系統(tǒng)安全模式��,病毒會在每個分區(qū)下釋放 AUTORUN.INF 來達到自運行�。
病毒功能:
一、病毒通過修改系統(tǒng)默認(rèn)加載的DLL 列表項來實現(xiàn)DLL 注入�,并在注入后設(shè)置全局鉤子.通過遠程進程注入,并檢測是否有相應(yīng)安全軟件和管理工具�。通過枚舉進程名,通過搜索以下關(guān)鍵字來關(guān)閉進程:
Rav avp twister kv watch kissvc scan guard |
找到帶有關(guān)鍵字的窗口后���,就往目標(biāo)窗口發(fā)送大量的垃圾消息��,是其無法處理而進入假死的狀態(tài)�,當(dāng)目標(biāo)窗口接受到退出�����、銷毀和WM_ENDSESSION消息就會異常退出�����。 通過查找窗口文字和和獲得窗口線程進程ID等函數(shù)(GetWindowThreadProcessID)監(jiān)控指定文字的窗口��,之后會發(fā)送消息關(guān)閉窗口或者通過Terminate process函數(shù)結(jié)束進程�����,病毒關(guān)閉殺毒軟件的方法沒有什么創(chuàng)新,但關(guān)鍵字變的更短�,使一些名字相近的進程或窗口也被關(guān)閉。
病毒運行后��,生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\~.exe
或者在C:\Documents and Settings\用戶名\「開始」菜單\程序\啟動下面
netcfg.dll負(fù)責(zé)注入IE并連接網(wǎng)絡(luò)下載木馬
并注冊為瀏覽器加載項
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D}
dnsq.dll會插入一些進程���,并監(jiān)控C:\WINDOWS\system32\Com\LSASS.EXE����,如果該進程被結(jié)束�����,則立即恢復(fù)����。
而且會監(jiān)控~.exe,如果該文件被刪除���,立即重寫����。
894729.log即pagefile.pif文件
之中還會在C盤生成一個驅(qū)動,該驅(qū)動應(yīng)該是用于提升權(quán)限所用
以獨占方式禁止讀取各盤下面的根目錄下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能寫則Xdelbox等軟件被廢掉�。
二���、修改注冊表破壞文件夾選項的隱藏屬性修改��,使隱藏的文件無法被顯示���。
?? HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改為0x00000000
三、刪除注冊表里關(guān)于安全模式設(shè)置的值�����,使安全模式被破壞���。
刪除如下鍵
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
病毒會反復(fù)改寫注冊表�����,在病毒被徹底清除之前����,使清理專家和AV 終結(jié)者專殺等修復(fù)安全模式的工具失效����。
四����、在C: 盤目錄下釋放一個 NetApi00.sys 的驅(qū)動文件��,通過該驅(qū)動隱藏和保護自身�����。
五����、令軟件限制策略失效
刪除注冊表 HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer 鍵及其子鍵,使用戶設(shè)定組策略中的軟件限制策略的設(shè)置失效�����。顯然該病毒作者是根據(jù)部分技術(shù)型網(wǎng)友的清除方法作了改進��,因為此前有網(wǎng)友建議配置軟件限制策略 令磁碟機病毒無法運行����。
六、不斷刪除注冊表的關(guān)鍵鍵值,來破壞安全模式和殺毒軟件和主動防御的服務(wù)���,使很多主動防御軟件和實時監(jiān)控?zé)o法再被開啟��。
七���、病毒在每個硬盤分區(qū)和可移動磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個文件�,來達到自運行的目的。并以獨占方式打開這兩個文件����,使其無法被直接刪除、訪問和拷貝�����。
八�����、病毒為了不讓一些安全工具自啟動��,把注冊表的整個RUN項及其子鍵全部刪除��,并且刪除全部的映象劫持項(意圖不明�����,大概是為了防止一些利用映象劫持的病毒免疫)。
九��、病毒釋放以下文件:
%SystemRoot%\system32\Com\smss.exe
%SystemRoot%\system32\Com\netcfg.000
%SystemRoot%\system32\Com\netcfg.dll
%SystemRoot%\system32\Com\lsass.exe |
然后運行SMSS.EXE 和 LSASS.EXE����,進程中會出現(xiàn)多個smss.exe和LSASS.EXE,和系統(tǒng)正常進程同步����,以迷惑管理員查看進程。
十��、 病毒通過重啟重命名方式加載��,位于注冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下的Pending Rename Operations字串���。
病毒通過修改注冊表的來把C:\ 下的0357589.log 文件(0357589是一些不固定的數(shù)字 ) 改名到"啟動"文件夾下的~.exe.664406.exe (664406 也不固定)�。
重啟重命名的執(zhí)行優(yōu)先級比傳統(tǒng)的自啟動(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高�����,啟動完成后又將自己刪除或改名回去。這種方式自啟動極為隱蔽����,現(xiàn)有的安全工具都無法檢測的出來。AV終結(jié)者專殺無法徹底清除這個磁碟機變種�����,正是因為這個原因����!
十一����、 病毒會自動下載最新版本和其它的一些病毒木馬到本地運行
十二、 病毒會感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件��。
并且會感染壓縮包內(nèi)的文件�����,若機器安裝了WinRAR會調(diào)用其中rar.exe釋放到臨時文件夾��,感染壓縮包內(nèi)文件再打包��。
這個病毒太有創(chuàng)意了,這個東西可是被很多人忽視的���。原來安全的WinRAR壓縮包�����,病毒解壓感染過再打包�����。
感染途徑:
1. 可移動磁盤的自運行
2. 其它下載者病毒或受感染帶毒文件
3. 惡意網(wǎng)站下載
4. 內(nèi)網(wǎng)ARP攻擊
手動清除:
首先把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值刪除掉���,讓它的重啟重命名失效!(懷疑這一招病毒會很快令其失效�����,就和前面一樣�,隔段時間重復(fù)檢查和刪除這個鍵值。)
然后再把機子斷電�,或異常重啟(總之不能正常關(guān)機!)�。
啥,你不清楚怎么搞��?直接拔電源線就是了。因為該病毒新變種在關(guān)機的時候往啟動項寫病毒��,開機的時候自殺��,導(dǎo)致一般殺毒軟件查不到����,但非法關(guān)機可以使它關(guān)機的時候生不成病毒。
重啟后�,先別打開盤符,(用好資源管理器����,別習(xí)慣雙擊打開盤符)在 CMD 命令行下將各個分區(qū)下的 autorun.inf 和 pagefile.pif 文件刪除。然后使用專殺或殺毒軟件全盤掃描病毒���,因為該病毒可以感染除syste
關(guān)鍵詞標(biāo)簽:分析,病毒,C:,system3
