“磁碟机”病毒分析报告[转自瑞星]
这是一个MFC写的感染型病毒。
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1. 从以下网址下载脚本http://www.****.****/*.htm、.....。
2. 生成名为”MCI Program Com Application”的窗口。
3. 程序会删除注册表SOFTWAREMicrosoftWindowsCurrentVersionRun项下的所有键值。
4. 查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5. 启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6. 遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7. 通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8. 感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
smss.exe用来实现进程保护,程序运行后会进行以下操作:
1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。
2.然后创建一个名为MSICTFIME SMSS的窗口,该窗口会对三种消息做出反应:
1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWAREMicrosoftWindowsCurrentVersionRun项下的所有键值。
2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到则运行病毒程序。
3.WM_CAP_START:当收到该消息时,向其发送退出消息。
3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。
dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作:
1. 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
3. 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ShowSuperHidden = 0
2.删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEMControlSet001ControlSafeBootMinimal
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlSafeBootMinimal
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEMControlSet001ControlSafeBootNetwork
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlSafeBootNetwork
{4D36E967-E325-11CE-BFC1-08002BE10318}
3.删除以下注册表项,使得镜像劫持失效
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Options
4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许
HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoDriveTypeAutoRun
5.修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderSuperHidden
Type = radio
6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersion
Windows
AppInit_DLLs = %SYSTEM%dnsq.dll.
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.查找带以下关键字的窗口,如果找到则向其发消息将其退出:
SREng 介绍、360safe、木、antivir、…
netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序
http://js.k0102.com/data.gif,查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序
- 某些常用安全软件打不开,或打开后立即被关闭;
- 无法进入Windows安全模式;
- 无法正常显示系统隐藏文件;
- 任务管理器中有两个lsass.exe和smss.exe进程;
- 使用Winrar浏览system32com目录有以下病毒文件:
- systemroot%system32comlsass.exe
- %systemroot%system32comsmss.exe
- %systemroot%system32comnetcfg.dll
- %systemroot%system32comnetcfg.000
- 硬盘根目录下有pagefile.pif和autorun.inf文件;
- 系统目录下存在dnsq.dll文件。
“”中毒之后,会强行关闭多种主流杀毒软件和安全工具,使其无法正常运行。您可以通过以下两个步骤清除病毒:
步骤一:从瑞星网站下载安全环境恢复工具进行全盘扫描。该工具会清除掉病毒释放的文件,使系统环境恢复正常。
步骤二:重新安装原有的杀毒软件,或者下载安装免费的瑞星杀毒软件2008,升级到最新版本后对电脑进行彻底查杀,从而可以清除该病毒。
- 如果您是瑞星杀毒软件2008版用户,请升级到最新版本
- 如果您还没有安装杀毒软件,请立即下载瑞星杀毒软件2008版【免费版】,并升级到最新版本。
版权声明:
作者:xiaoniba
链接:https://blog.xiaoniba.com/2008/03/22/%e7%a3%81%e7%a2%9f%e6%9c%ba%e7%97%85%e6%af%92%e5%88%86%e6%9e%90%e6%8a%a5%e5%91%8a%e8%bd%ac%e8%87%aa%e7%91%9e%e6%98%9f/
来源:小泥吧的博客
文章版权归作者所有,未经允许请勿转载。
THE END
二维码
共有 0 条评论