攻防兼备　宣战磁碟机病毒

攻防, 磁碟机, 宣战

　　
  了解磁碟机
  如今，磁碟机病毒至今已有多个变种，被感染的系统将会从互联网中下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。

  典型磁碟机破坏的表现
  1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
  2.破坏文件夹选项，使用户不能查看隐藏文件
  3.删除注册表中关于安全模式的值，防止启动到安全模式
  4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。
  5.修改注册表，令组策略中的软件限制策略不可用。
  6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。
  7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。
  8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
  9.释放多个病毒执行程序，完成更多任务
  10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
  11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。
  12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

  磁碟机的一般处理方法

  1、先运行“磁碟机瘫痪工具”csrss.exe
2、磁碟机被这个csrss.exe瘫痪后，IceSword等工具已可正常使用。用IceSword或WINRAR找到并删除系统分区的下列病毒文件（这是常见的系统装在C分区的病毒文件位置；系统装在其它分区者请注意自己的系统盘符）：
  C:\037589.log
C:\windows\system32\205016.log（这个.log文件名的数字部分可能有变化）
  C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll（动态插入应用程序进程）
  C:\Documents and Settings\All Users\「开始」菜单\程序\启动\～.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\～.exe
各分区根目录下的：
  autorun.inf和pagefile.pif
3、用专杀或升级杀软病毒库后查杀非系统分区的被感染文件。
瘫痪磁碟机工具的运行界面

  附症状：

  症状1、系统安装在C盘的，用WINRAR可以看到磁碟机病毒释放的文件（目前为止，磁碟机病毒主体文件名及其路径是固定的）：
  C:\037589.log
C:\windows\system32\205016.log（这个.log文件名的数字部分可能有变化）
  C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll（动态插入应用程序进程）
  C:\Documents and Settings\All Users\「开始」菜单\程序\启动\～.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\～.exe
各分区根目录下还会有：
  autorun.inf和pagefile.pif

症状2、感染磁碟机后，IceSword、SRENG等常用工具不能正常运行。

  下载：

[ 本帖最后由妖界之箭于 2008-3-18 12:41 编辑 ]

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

三曲名乐调苍野四色箭谱戏古琴
妖界之箭的联系方式： QQ：9392009 技术群：38274596 技术博客http://blog.ixpub.net/?uid/1772146

妖界之箭

版主

Rank: 10

社区积分: 111
技术积分: 7616
阅读权限: 150
注册时间: 2006-8-16

论坛徽章 4

沙发

发表于 2008-3-18 12:08 | 只看该作者

技术全解

病毒特征

传播性

1）在网站上挂马，在用户访问一些不安全的网站时，就会被植入病毒。这也是早期磁碟机最主要的传播方式；
2）通过U盘等移动存储的Autorun传播，染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
3）局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。

隐蔽性

1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的。
2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C:\下的XXXX.log文件（XXXX是一些不固定的数字），改名到“启动”文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。

针对性

1）关闭安全软件，病毒设置全局钩子，根据关键字关闭杀毒软件和诊断工具
2）破坏文件的显示方式，病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能
3）破坏安全模式，病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表。
4）破坏杀毒软件的自保护，病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹。
5）破坏安全策略，病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。
6）自动运行，病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除。
7）阻止其他安全软件随机启动，病毒删除注册表整个RUN项和子键。
8）阻止使用映像劫持方法禁止病毒运行，病毒删除注册表整个Image File Execution Options项和子键。
9）病毒自保护，病毒释放以下文件：

%Systemroot%\system32\Com\smss.exe
%Systemroot%\system32\Com\netcfg.000
%Systemroot%\system32\Com\netcfg.dll
%Systemroot%\system32\Com\lsass.exe

随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。

10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。

危害性

1）病毒会自动下载自己的最新版本，和其他一些木马到本地运行
2）病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳。
3）盗取用户虚拟资产和其他有用信息

用户环境的表现
1）杀毒软件和安全工具无法运行
2）进入安全模式蓝屏
3）由于Exe文件被感染，重装系统无效
4）用户信息丢失，甚至有些程序无法使用

[ 本帖最后由妖界之箭于 2008-3-18 12:44 编辑 ]

三曲名乐调苍野四色箭谱戏古琴
妖界之箭的联系方式： QQ：9392009 技术群：38274596 技术博客http://blog.ixpub.net/?uid/1772146

TOP

妖界之箭

版主

Rank: 10

社区积分: 111
技术积分: 7616
阅读权限: 150
注册时间: 2006-8-16

论坛徽章 4

板凳

发表于 2008-3-18 12:12 | 只看该作者

解毒之道

一旦中了磁碟机病毒，几乎所有主流杀毒软件都会被这个病毒废掉，防毒很容易，中毒后则会给你带来不尽的麻烦。相信很多普通用户中了该病毒的唯一出路就是重装，测试环境用了winxp sp3虚拟机，未安装任何杀毒软件。

1.测试前的准备：

我事先下载了AV终结者专杀，毒霸2008安装包，毒霸打狗棒（机器狗专杀），Autoruns，Process Explorer，冰刃，Sreng，还下载了修复安全模式的注册表脚本。作为普通用户，可能在中毒前，手里根本没有这些工具。

2.运行病毒后，机器本无异常，习惯性的打开任务管理器，立即发现慢了很多。

3.没多久，发现弹出多个钓鱼网站。

4.双击桌面上毒霸2008的安装程序，很快该程序卡死，本次安装没有任何进展，安装程序也不会自己关闭。

5.登录毒霸官网下载清理专家安装包，结果发现刚一开始下载，IE的进程条就不动了，病毒应该是对杀毒厂商的网站进行了攻击。

6.尝试从其它下载站点下载安装包成功

7.安装清理专家成功，但清理专家打开后就死掉，无法正常运行。

8.尝试安全模式下运行清理专家，结果重启到安全模式就蓝屏重启。

9.运行autoruns，发现Appinit_dlls有异常加载，文件为c:\windows\system32\dnsq.dll，这个正是磁碟机病毒注入的dll文件，在很多系统进程中都有注入，强行删除或结束该线程会立即导致蓝屏重启。

尝试用autoruns删除病毒修改的加载项，刷新后很快发现又回来了，证明在清除病毒前，修改注册表键是毫无用处的。

10.准备使用Process Explorer，结果很快该程序失去响应。

11.运行AV终结者专杀，发现安全模式被破坏，硬盘根目录有autorun.inf，以及（AV终结者变种av_killer.j的感染信息）

12.运行冰刃和Sreng均宣告失败，运行毒霸打狗棒未发现任何异常，以此可以排除机器狗病毒。

13.运行磁碟机病毒专杀，发现9个病毒特征。当然，选择清除病毒。程序最后提示需要重启，可以尝试立即重启。

注意：如果是最新的变种，可能重启后，还会有中毒现象。应该重新运行磁碟机病毒专杀，程序提示重启时，暂不重启，双击“一键修复安全模式的注册表文件”，或者重新启动AV终结者专杀或清理专家。以修复安全模式引导系统。

在本例中，磁碟机专杀清除了全部病毒，重启后，未再发现中毒现象。

14.再次运行金山清理专家，查杀恶意软件，把病毒造成的其它破坏全部修复。

15.尝试重启到安全模式，这次成功了。

特别提醒：

从磁碟机病毒的现象来看，普通用户在没有获得磁碟机专杀，或专杀无效的情况下，几乎只有重装系统一条路。

点击下载：

[ 本帖最后由妖界之箭于 2008-3-18 12:45 编辑 ]

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

三曲名乐调苍野四色箭谱戏古琴
妖界之箭的联系方式： QQ：9392009 技术群：38274596 技术博客http://blog.ixpub.net/?uid/1772146

TOP

jiaoaitasi