出处:pconline 作者:城市猎人
磁碟机病毒并不是一个新病毒,早在2007年2月的时候,就已经初现端倪。当时它仅仅作为一种蠕虫病毒,成为所有反病毒工作者的关注目标。而当时这种病毒的行为,也仅仅局限于,在系统目录%system%\system32\com\生成lsass.exe和smss.exe,感染用户电脑上的exe文件。
病毒在此时的传播量和处理的技术难度都不大。
然而在病毒作者经过长达一年的辛勤工作--数据表明,病毒作者几乎每两天就会更新一次病毒--之后,并吸取了其他病毒的特点(例如臭名昭着的AV终结者,攻击破坏安全软件和检测工具),结合了目前病毒流行的传播手段,逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。
点击下载专杀工具
传播性
1)在网站上挂马,在用户访问一些不安全的网站时,就会被植入病毒。这也是早期磁碟机最主要的传播方式;
2)通过U盘等移动存储的Autorun传播,染毒的机器会在每个分区(包括可移动存储设备)根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
3)局域网内的ARP传播方式,磁碟机病毒会下载其他的ARP病毒,并利用ARP病毒传播的隐蔽性,在局域网内传播。值得注意的是:病毒之间相互利用,狼狈为奸已经成为现在流行病的一个主要趋势,利用其它病毒的特点弥补自身的不足。
隐蔽性
1)传播的隐蔽性:从上面的描述可以看出,病毒在传播过程中,所利用的技术手段都是用户,甚至是
杀毒软件无法截获的。
2)启动的隐蔽性:病毒不会主动添加启动项(这是为了逃避系统诊断工具的检测,也是其针对性的体现),而是通过重启重命名方式把C:\下的XXXX.log文件(XXXX是一些不固定的数字),改名到"启动"文件夹。重启重命名优先于自启动,启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的,使得当前大多数
杀毒软件无法有效避免病毒随机启动。
针对性
1)关闭安全软件,病毒设置全局钩子,根据关键字关闭杀毒软件和诊断工具
关键字举例:360safe、Escan、瑞、金山、防、SREng、升、木、KV、 诊、工具、ARP、微点、Firewall、扫描、Mcagent、Metapad ……
另外,病毒还能枚举当前进程名,根据关键字Rav、avp、kv、kissvc、scan…来结束进程。
2)破坏文件的显示方式,病毒修改注册表,使得文件夹选项的隐藏属性被修改,使得隐藏文件无法显示,逃避被用户手动删除的可能
3)破坏安全模式,病毒会删除注册表中和安全模式相关的值,使得安全模式被破坏,无法进入;为了避免安全模式被其他工具修复,病毒还会反复改写注册表。
4)破坏杀毒软件的自保护,病毒会在C盘释放一个NetApi00.sys的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹。
5)破坏安全策略,病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。
6)自动运行,病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif,是以独占式打开的,无法直接删除。
7)阻止其他安全软件随机启动,病毒删除注册表整个RUN项和子键。
8)阻止使用映像劫持方法禁止病毒运行,病毒删除注册表整个Image File Execution Options项和子键。
9)病毒自保护,病毒释放以下文件:
%Systemroot%\system32\Com\smss.exe
%Systemroot%\system32\Com\netcfg.000
%Systemroot%\system32\Com\netcfg.dll
%Systemroot%\system32\Com\lsass.exe
随后smss.exe和lsass.exe会运行起来,由于和系统进程名相同(路径不同),任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后,会立即再次启动;如果启动被阻止,病毒就会立即重启系统。
10)对抗分析检测,病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后,再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。
危害性
1)病毒会自动下载自己的最新版本,和其他一些木马到本地运行
2)病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳。
3)盗取用户虚拟资产和其他有用信息
用户环境的表现
1)杀毒软件和安全工具无法运行
2)进入安全模式蓝屏
3)由于Exe文件被感染,重装系统无效
4)用户信息丢失,甚至有些程序无法使用
---------------------
典型磁碟机破坏的表现:
1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
2.破坏文件夹选项,使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值,防止启动到安全模式
4.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
5.修改注册表,令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9.释放多个病毒执行程序,完成更多任务
10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。
病毒传播途径
1.U盘/移动硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播
解决方案
磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。
点击下载
在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:
1.尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)
具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行kav32.exe,或者在命令行下运行kavdx。如果这个病毒不是很BT的话,有希望搞定。
2.WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)
WINPE启动后,运行kav32.exe或kavdx
3.挂从盘杀毒(有多台电脑的情况下,比较容易使用)
必须注意,在挂从盘杀毒前,正常的电脑务必使用金山清理专家的U盘免疫功能,将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险(在这里咒骂微软10000遍,这个自动运行就是为传播病毒准备的,除此之外,屁用都么有)
4.你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先上网下载毒霸,升级到最新,使用清理专家的U盘免疫器,禁用所有磁盘的自动运行。
