全面认识磁碟机病毒 - 『计算机安全』

打印 \| 推荐 \| 订阅 \| 收藏标题: [资讯] 全面认识磁碟机病毒
本帖已经被作者加入个人空间

ynafa

技术精英

UID 14810
精华 1
积分 358
帖子 122
威望 348
现金 947 币币
存款 1600 币币
阅读权限 11
注册 2007-3-16
状态离线

大中小

发表于 2008-3-27 08:35 资料个人空间短消息加为好友

全面认识磁碟机病毒

磁碟机病毒疫情的发生

磁碟机病毒最早出现在去年2月份，是在Windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

磁碟机病毒分析
磁碟机病毒至今已有多个变种，该病毒感染系统之后，会象蚂蚁搬家一样将更多木马下载到本地运行，以盗号木马为主。同时，磁碟机病毒还会下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。
对于普通电脑用户来说，磁碟机病毒入侵后，除了安全软件不可用之外，系统的其它功能基本正常。因此，普通用户发现中毒是在盗号事件发生之后，一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且，在这种情况下，用户基本无法正常使用杀毒软件完成病毒清除，甚至想重新安装另一个杀毒软件也变得不可能。

典型磁碟机破坏的表现
1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
2.破坏文件夹选项，使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值，防止启动到安全模式
4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。
5.修改注册表，令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
9.释放多个病毒执行程序，完成更多任务
10.病毒通过重启重命名方式加载，位于注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。
12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

磁碟机病毒传播途径
1.U盘/移动硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播
磁碟机病毒解决方案
磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。
在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：
1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）
   具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行杀毒软件，或者在命令行下运行杀毒软件。如果这个病毒不是很变态的话，有希望搞定。
2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。）
   WINPE启动后，运行杀毒软件。
3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）
   必须注意，在挂从盘杀毒前，正常的电脑务必将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险。
4.你遇到了极端的情况，前三个条件都不具备，手工杀毒又不会，那只有一招，把C盘格了重装吧，装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先安装正版杀毒软件，升级到最新，禁用所有磁盘的自动运行。

参考文章：新一代毒王—磁碟机病毒

磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒的行为，也仅仅局限于，在系统目录%system%\system32\com\生成lsass.exe和smss.exe，感染用户电脑上的exe文件。
　　病毒在此时的传播量和处理的技术难度都不大。
　　然而在病毒作者经过长达一年的辛勤工作--数据表明，病毒作者几乎每两天就会更新一次病毒--之后，并吸取了其他病毒的特点（例如臭名昭着的AV终结者，攻击破坏安全软件和检测工具），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。

　　传播性
　　1）在网站上挂马，在用户访问一些不安全的网站时，就会被植入病毒。这也是早期磁碟机最主要的传播方式；
　　2）通过U盘等移动存储的Autorun传播，染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
　　3）局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。

　　隐蔽性
　　1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的。
　　2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C：\下的XXXX.log文件（XXXX是一些不固定的数字），改名到"启动"文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。

　　针对性
　　1）关闭安全软件，病毒设置全局钩子，根据关键字关闭杀毒软件和诊断工具
　　关键字举例：360safe、Escan、瑞、金山、防、SREng、升、木、KV、诊、工具、ARP、微点、Firewall、扫描、Mcagent、Metapad ……
　　另外，病毒还能枚举当前进程名，根据关键字Rav、avp、kv、kissvc、scan…来结束进程。
　　2）破坏文件的显示方式，病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能
　　3）破坏安全模式，病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表。
　　4）破坏杀毒软件的自保护，病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹。
　　5）破坏安全策略，病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。
　　6）自动运行，病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除。
　　7）阻止其他安全软件随机启动，病毒删除注册表整个RUN项和子键。
　　8）阻止使用映像劫持方法禁止病毒运行，病毒删除注册表整个Image File Execution Options项和子键。
　　9）病毒自保护，病毒释放以下文件：
　　%Systemroot%\system32\Com\smss.exe
　　%Systemroot%\system32\Com\netcfg.000
　　%Systemroot%\system32\Com\netcfg.dll
　　%Systemroot%\system32\Com\lsass.exe
　　随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。
　　10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。
　　危害性
　　1）病毒会自动下载自己的最新版本，和其他一些木马到本地运行
　　2）病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳。
　　3）盗取用户虚拟资产和其他有用信息

　　用户环境的表现
　　1）杀毒软件和安全工具无法运行
　　2）进入安全模式蓝屏
　　3）由于Exe文件被感染，重装系统无效
　　4）用户信息丢失，甚至有些程序无法使用

昨天，我朋友的计算机中了此毒：还在C（系统区）根目录生成NTDETECT.EXE文件和DOCUMENTS两个系统属性文件，同时在WINDOWS\system32\下产生wvv.exe文件！
只要一连网，就使杀毒软件频频报警，并在C:\Documents and Settings\用户名\Local Settings\Temp文件夹下产生tmp*.exe文件，*从1到N，除非终止连线，否则N越来越大，直到死机！
最后用AutoGuarder2最新版本彻底清除清除！

下载：http://www1.it228.com/viewthread.php?tid=25490&page=1&extra=page%3D1

[ 本帖最后由 ynafa 于 2008-3-27 09:12 编辑 ]