|
背景介紹
磁碟機(jī)病毒并不是一個(gè)新病毒,早在2007年2月的時(shí)候���,就已經(jīng)初現(xiàn)端倪�����。當(dāng)時(shí)它僅僅作為一種蠕蟲病毒���,成為所有反病毒工作者的關(guān)注目標(biāo)。而當(dāng)時(shí)這種病毒的行為��,也僅僅局限于�,在系統(tǒng)目錄%system%\system32\com\生成lsass.exe和smss.exe���,感染用戶電腦上的exe文件。
病毒在此時(shí)的傳播量和處理的技術(shù)難度都不大����。
然而在病毒作者經(jīng)過長(zhǎng)達(dá)一年的辛勤工作——數(shù)據(jù)表明,病毒作者幾乎每?jī)商炀蜁?huì)更新一次病毒——之后��,并吸取了其他病毒的特點(diǎn)(例如臭名昭著的AV終結(jié)者�����,攻擊破壞安全軟件和檢測(cè)工具)��,結(jié)合了目前病毒流行的傳播手段�����,逐漸發(fā)展為目前感染量�、破壞性����、清除難度都超過同期病毒的新一代毒王。
病毒特征
傳播性
1)在網(wǎng)站上掛馬���,在用戶訪問一些不安全的網(wǎng)站時(shí)���,就會(huì)被植入病毒����。這也是早期磁碟機(jī)最主要的傳播方式��;
2)通過U盤等移動(dòng)存儲(chǔ)的Autorun傳播�����,染毒的機(jī)器會(huì)在每個(gè)分區(qū)(包括可移動(dòng)存儲(chǔ)設(shè)備)根目錄下釋放autorun.inf和pagefile.pif兩個(gè)文件��。達(dá)到自動(dòng)運(yùn)行的目的����。
3)局域網(wǎng)內(nèi)的ARP傳播方式,磁碟機(jī)病毒會(huì)下載其他的ARP病毒����,并利用ARP病毒傳播的隱蔽性,在局域網(wǎng)內(nèi)傳播����。值得注意的是:病毒之間相互利用����,狼狽為奸已經(jīng)成為現(xiàn)在流行病的一個(gè)主要趨勢(shì)�����,利用其它病毒的特點(diǎn)彌補(bǔ)自身的不足���。
隱蔽性
1)傳播的隱蔽性:從上面的描述可以看出��,病毒在傳播過程中���,所利用的技術(shù)手段都是用戶,甚至是殺毒軟件無法截獲的����。
2)啟動(dòng)的隱蔽性:病毒不會(huì)主動(dòng)添加啟動(dòng)項(xiàng)(這是為了逃避系統(tǒng)診斷工具的檢測(cè),也是其針對(duì)性的體現(xiàn))��,而是通過重啟重命名方式把C:\下的XXXX.log文件(XXXX是一些不固定的數(shù)字)��,改名到“啟動(dòng)”文件夾��。重啟重命名優(yōu)先于自啟動(dòng)�,啟動(dòng)完成之后又將自己刪除或改名回去。已達(dá)到逃避安全工具檢測(cè)的目的����,使得當(dāng)前大多數(shù)殺毒軟件無法有效避免病毒隨機(jī)啟動(dòng)。
針對(duì)性
1)關(guān)閉安全軟件����,病毒設(shè)置全局鉤子,根據(jù)關(guān)鍵字關(guān)閉殺毒軟件和診斷工具
關(guān)鍵字舉例:
|
360safe |
Escan |
瑞 |
金山 |
防 |
SREng |
|
升 |
木 |
KV |
診 |
工具 |
ARP |
|
微點(diǎn) |
Firewall |
掃描 |
Mcagent |
Metapad |
…… |
另外�,病毒還能枚舉當(dāng)前進(jìn)程名,根據(jù)關(guān)鍵字Rav��、avp����、kv、kissvc��、scan…來結(jié)束進(jìn)程�。
2)破壞文件的顯示方式,病毒修改注冊(cè)表���,使得文件夾選項(xiàng)的隱藏屬性被修改����,使得隱藏文件無法顯示,逃避被用戶手動(dòng)刪除的可能
3)破壞安全模式���,病毒會(huì)刪除注冊(cè)表中和安全模式相關(guān)的值���,使得安全模式被破壞,無法進(jìn)入�����;為了避免安全模式被其他工具修復(fù)�,病毒還會(huì)反復(fù)改寫注冊(cè)表。
4)破壞殺毒軟件的自保護(hù)�,病毒會(huì)在C盤釋放一個(gè)NetApi00.sys的驅(qū)動(dòng)文件,并通過服務(wù)加載����,使得很多殺毒軟件的監(jiān)控和主動(dòng)防御失效,目的達(dá)到后����,病毒會(huì)將驅(qū)動(dòng)刪除,消除痕跡��。
5)破壞安全策略,病毒刪除注冊(cè)表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer鍵和子鍵���。并會(huì)反復(fù)改寫。
6)自動(dòng)運(yùn)行���,病毒在每個(gè)硬盤分區(qū)根目錄下生成的autorun.inf和pagefile.pif���,是以獨(dú)占式打開的,無法直接刪除�����。
7)阻止其他安全軟件隨機(jī)啟動(dòng)��,病毒刪除注冊(cè)表整個(gè)RUN項(xiàng)和子鍵���。
8)阻止使用映像劫持方法禁止病毒運(yùn)行�����,病毒刪除注冊(cè)表整個(gè)Image File Execution Options項(xiàng)和子鍵����。
9)病毒自保護(hù),病毒釋放以下文件:
|
%Systemroot%\system32\Com\smss.exe%Systemroot%\system32\Com\netcfg.000%Systemroot%\system32\Com\netcfg.dll%Systemroot%\system32\Com\lsass.exe |
隨后smss.exe和lsass.exe會(huì)運(yùn)行起來�,由于和系統(tǒng)進(jìn)程名相同(路徑不同),任務(wù)管理器無法將它們直接結(jié)束�。病毒在檢測(cè)到這兩個(gè)進(jìn)程被關(guān)閉后,會(huì)立即再次啟動(dòng)�;如果啟動(dòng)被阻止,病毒就會(huì)立即重啟系統(tǒng)�����。
10)對(duì)抗分析檢測(cè)���,病毒不會(huì)立即對(duì)系統(tǒng)進(jìn)行破壞����。而會(huì)在系統(tǒng)中潛伏一段時(shí)間之后�����,再開始活動(dòng)�����。這樣的行為使得無法通過Installwatch等系統(tǒng)快照工具跟蹤到病毒的行為�����。
危害性
1)病毒會(huì)自動(dòng)下載自己的最新版本,和其他一些木馬到本地運(yùn)行
2)病毒會(huì)感染用戶機(jī)器上的exe文件�,包括壓縮包內(nèi)的exe文件,并會(huì)通過UPX加殼����。
3)盜取用戶虛擬資產(chǎn)和其他有用信息
用戶環(huán)境的表現(xiàn)
1)殺毒軟件和安全工具無法運(yùn)行
2)進(jìn)入安全模式藍(lán)屏
3)由于Exe文件被感染���,重裝系統(tǒng)無效
4)用戶信息丟失���,甚至有些程序無法使用
|
