【轉貼】
磁碟機病毒並不是一個新病毒,早在2007年2月的時候,就已經初現端倪。當時它僅僅作為一種蠕蟲病毒,成為所有反病毒工作者的關注目標。而當時這種病毒的行為,也僅僅局限於,在系統目錄%system%\system32\com\生成lsass.exe和smss.exe,感染用戶電腦上的exe檔案。
病毒在此時的傳播量和處理的技術難度都不大。
然而在病毒作者經過長達一年的辛勤工作--數據表明,病毒作者幾乎每兩天就會更新一次病毒--之後,並吸取了其他病毒的特點(例如臭名昭著的AV終結者,攻擊破壞安全軟體和檢測工具),結合了目前病毒流行的傳播手段,逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。
傳播性
1)在網站上掛馬,在用戶訪問一些不安全的網站時,就會被植入病毒。這也是早期磁碟機最主要的傳播方式;
2)通過USB 隨身碟等可攜式儲存裝置的Autorun傳播,染毒的機器會在每個分區(包括可攜式儲存裝置)根目錄下釋放autorun.inf和pagefile.pif兩個檔案。達到自動執行的目的。
3)區域網內的ARP傳播方式,磁碟機病毒會下載其他的ARP病毒,並利用ARP病毒傳播的隱蔽性,在區域網內傳播。值得注意的是:病毒之間相互利用,狼狽為奸已經成為現在流行病的一個主要趨勢,利用其它病毒的特點彌補自身的不足。
隱蔽性
1)傳播的隱蔽性:從上面的描述可以看出,病毒在傳播過程中,所利用的技術手段都是用戶,甚至是防毒軟體無法截獲的。
2)啟動的隱蔽性:病毒不會主動添加啟動項(這是為了逃避系統診斷工具的檢測,也是其針對性的體現),而是通過重啟重命名方式把C:\下的XXXX.log檔案(XXXX是一些不固定的數字),改名到"啟動"資料夾。重啟重命名優先於自啟動,啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的,使得當前大多數防毒軟體無法有效避免病毒隨機啟動。
針對性
1)關閉安全軟體,病毒設定全局掛接(Hook),根據關鍵字關閉防毒軟體和診斷工具
關鍵字舉例:360safe、Escan、瑞、金山、防、SREng、升、木、KV、 診、工具、ARP、微點、Firewall、掃瞄、Mcagent、Metapad ……
另外,病毒還能枚舉當前處裡程序名,根據關鍵字Rav、avp、kv、kissvc、scan…來結束處裡程序。
2)破壞檔案的顯示方式,病毒修改登錄檔,使得資料夾選項的隱藏屬性被修改,使得隱藏檔案無法顯示,逃避被用戶手動刪除的可能
3)破壞安全模式,病毒會刪除登錄檔中和安全模式相關的值,使得安全模式被破壞,無法進入;為了避免安全模式被其他工具修復,病毒還會反覆改寫登錄檔。
4)破壞防毒軟體的自保護,病毒會在C盤釋放一個NetApi00.sys的驅動檔案,並通過服務加載,使得很多防毒軟體的監控和主動防禦失效,目的達到後,病毒會將驅動刪除,消除痕跡。
5)破壞安全策略,病毒刪除登錄檔HKLM\SoftWae\Plicies\Microsoft\Windows\Safer鍵和子鍵。並會反覆改寫。
6)自動執行,病毒在每個硬盤分區根目錄下生成的autorun.inf和pagefile.pif,是以獨佔式打開的,無法直接刪除。
7)阻止其他安全軟體隨機啟動,病毒刪除登錄檔整個RUN項和子鍵。
8)阻止使用映像劫持方法禁止病毒執行,病毒刪除登錄檔整個Image File Execution Options項和子鍵。
9)病毒自保護,病毒釋放以下檔案:
%Systemroot%\system32\Com\smss.exe
%Systemroot%\system32\Com\netcfg.000
%Systemroot%\system32\Com\netcfg.dll
%Systemroot%\system32\Com\lsass.exe
隨後smss.exe和lsass.exe會執行起來,由於和系統處裡程序名相同(路徑不同),工作管理員無法將它們直接結束。病毒在檢測到這兩個處裡程序被關閉後,會立即再次啟動;如果啟動被阻止,病毒就會立即重啟系統。
10)對抗分析檢測,病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後,再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。
危害性
1)病毒會自動下載自己的最新版本,和其他一些木馬到本地執行
2)病毒會感染用戶機器上的exe檔案,包括壓縮包檔的exe檔案,並會通過UPX加殼。
3)盜取用戶虛擬資產和其他有用信息
用戶環境的表現
1)防毒軟體和安全工具無法執行
2)進入安全模式藍屏
3)由於Exe檔案被感染,重裝系統無效
4)用戶信息丟失,甚至有些程式無法使用