討論 - 新一代的毒王 -- "磁碟機" 病毒全面解析

plunderer · 2008-03-18, 10:57 PM

【轉貼】
磁碟機病毒並不是一個新病毒，早在2007年2月的時候，就已經初現端倪。當時它僅僅作為一種蠕蟲病毒，成為所有反病毒工作者的關注目標。而當時這種病毒的行為，也僅僅局限於，在系統目錄%system%\system32\com\生成lsass.exe和smss.exe，感染用戶電腦上的exe檔案。
　　病毒在此時的傳播量和處理的技術難度都不大。
　　然而在病毒作者經過長達一年的辛勤工作--數據表明，病毒作者幾乎每兩天就會更新一次病毒--之後，並吸取了其他病毒的特點（例如臭名昭著的AV終結者，攻擊破壞安全軟體和檢測工具），結合了目前病毒流行的傳播手段，逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。
　　
傳播性
　　1）在網站上掛馬，在用戶訪問一些不安全的網站時，就會被植入病毒。這也是早期磁碟機最主要的傳播方式；
　　2）通過USB 隨身碟等可攜式儲存裝置的Autorun傳播，染毒的機器會在每個分區（包括可攜式儲存裝置）根目錄下釋放autorun.inf和pagefile.pif兩個檔案。達到自動執行的目的。
　　3）區域網內的ARP傳播方式，磁碟機病毒會下載其他的ARP病毒，並利用ARP病毒傳播的隱蔽性，在區域網內傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經成為現在流行病的一個主要趨勢，利用其它病毒的特點彌補自身的不足。
　　
隱蔽性
　　1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過程中，所利用的技術手段都是用戶，甚至是防毒軟體無法截獲的。
　　2）啟動的隱蔽性：病毒不會主動添加啟動項（這是為了逃避系統診斷工具的檢測，也是其針對性的體現），而是通過重啟重命名方式把C：\下的XXXX.log檔案（XXXX是一些不固定的數字），改名到"啟動"資料夾。重啟重命名優先於自啟動，啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的，使得當前大多數防毒軟體無法有效避免病毒隨機啟動。
　　
針對性
　　1）關閉安全軟體，病毒設定全局掛接(Hook)，根據關鍵字關閉防毒軟體和診斷工具
　　關鍵字舉例：360safe、Escan、瑞、金山、防、SREng、升、木、KV、診、工具、ARP、微點、Firewall、掃瞄、Mcagent、Metapad ……
　　另外，病毒還能枚舉當前處裡程序名，根據關鍵字Rav、avp、kv、kissvc、scan…來結束處裡程序。
　　2）破壞檔案的顯示方式，病毒修改登錄檔，使得資料夾選項的隱藏屬性被修改，使得隱藏檔案無法顯示，逃避被用戶手動刪除的可能
　　3）破壞安全模式，病毒會刪除登錄檔中和安全模式相關的值，使得安全模式被破壞，無法進入；為了避免安全模式被其他工具修復，病毒還會反覆改寫登錄檔。
　　4）破壞防毒軟體的自保護，病毒會在C盤釋放一個NetApi00.sys的驅動檔案，並通過服務加載，使得很多防毒軟體的監控和主動防禦失效，目的達到後，病毒會將驅動刪除，消除痕跡。
　　5）破壞安全策略，病毒刪除登錄檔HKLM\SoftWae\Plicies\Microsoft\Windows\Safer鍵和子鍵。並會反覆改寫。
　　6）自動執行，病毒在每個硬盤分區根目錄下生成的autorun.inf和pagefile.pif，是以獨佔式打開的，無法直接刪除。
　　7）阻止其他安全軟體隨機啟動，病毒刪除登錄檔整個RUN項和子鍵。
　　8）阻止使用映像劫持方法禁止病毒執行，病毒刪除登錄檔整個Image File Execution Options項和子鍵。
　　9）病毒自保護，病毒釋放以下檔案：
　　%Systemroot%\system32\Com\smss.exe
　　%Systemroot%\system32\Com\netcfg.000
　　%Systemroot%\system32\Com\netcfg.dll
　　%Systemroot%\system32\Com\lsass.exe
　　隨後smss.exe和lsass.exe會執行起來，由於和系統處裡程序名相同（路徑不同），工作管理員無法將它們直接結束。病毒在檢測到這兩個處裡程序被關閉後，會立即再次啟動；如果啟動被阻止，病毒就會立即重啟系統。
　　10）對抗分析檢測，病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後，再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。
　　
危害性
　　1）病毒會自動下載自己的最新版本，和其他一些木馬到本地執行
　　2）病毒會感染用戶機器上的exe檔案，包括壓縮包檔的exe檔案，並會通過UPX加殼。
　　3）盜取用戶虛擬資產和其他有用信息
　　
用戶環境的表現
　　1）防毒軟體和安全工具無法執行
　　2）進入安全模式藍屏
　　3）由於Exe檔案被感染，重裝系統無效
　　4）用戶信息丟失，甚至有些程式無法使用

2008-03-18, 10:57 PM	#1
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	討論 - 新一代的毒王 -- "磁碟機" 病毒全面解析【轉貼】磁碟機病毒並不是一個新病毒，早在2007年2月的時候，就已經初現端倪。當時它僅僅作為一種蠕蟲病毒，成為所有反病毒工作者的關注目標。而當時這種病毒的行為，也僅僅局限於，在系統目錄%system%\system32\com\生成lsass.exe和smss.exe，感染用戶電腦上的exe檔案。　　病毒在此時的傳播量和處理的技術難度都不大。　　然而在病毒作者經過長達一年的辛勤工作--數據表明，病毒作者幾乎每兩天就會更新一次病毒--之後，並吸取了其他病毒的特點（例如臭名昭著的AV終結者，攻擊破壞安全軟體和檢測工具），結合了目前病毒流行的傳播手段，逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。　　傳播性　　1）在網站上掛馬，在用戶訪問一些不安全的網站時，就會被植入病毒。這也是早期磁碟機最主要的傳播方式；　　2）通過USB 隨身碟等可攜式儲存裝置的Autorun傳播，染毒的機器會在每個分區（包括可攜式儲存裝置）根目錄下釋放autorun.inf和pagefile.pif兩個檔案。達到自動執行的目的。　　3）區域網內的ARP傳播方式，磁碟機病毒會下載其他的ARP病毒，並利用ARP病毒傳播的隱蔽性，在區域網內傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經成為現在流行病的一個主要趨勢，利用其它病毒的特點彌補自身的不足。　　隱蔽性　　1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過程中，所利用的技術手段都是用戶，甚至是防毒軟體無法截獲的。　　2）啟動的隱蔽性：病毒不會主動添加啟動項（這是為了逃避系統診斷工具的檢測，也是其針對性的體現），而是通過重啟重命名方式把C：\下的XXXX.log檔案（XXXX是一些不固定的數字），改名到"啟動"資料夾。重啟重命名優先於自啟動，啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的，使得當前大多數防毒軟體無法有效避免病毒隨機啟動。　　針對性　　1）關閉安全軟體，病毒設定全局掛接(Hook)，根據關鍵字關閉防毒軟體和診斷工具　　關鍵字舉例：360safe、Escan、瑞、金山、防、SREng、升、木、KV、診、工具、ARP、微點、Firewall、掃瞄、Mcagent、Metapad …… 　　另外，病毒還能枚舉當前處裡程序名，根據關鍵字Rav、avp、kv、kissvc、scan…來結束處裡程序。　　2）破壞檔案的顯示方式，病毒修改登錄檔，使得資料夾選項的隱藏屬性被修改，使得隱藏檔案無法顯示，逃避被用戶手動刪除的可能　　3）破壞安全模式，病毒會刪除登錄檔中和安全模式相關的值，使得安全模式被破壞，無法進入；為了避免安全模式被其他工具修復，病毒還會反覆改寫登錄檔。　　4）破壞防毒軟體的自保護，病毒會在C盤釋放一個NetApi00.sys的驅動檔案，並通過服務加載，使得很多防毒軟體的監控和主動防禦失效，目的達到後，病毒會將驅動刪除，消除痕跡。　　5）破壞安全策略，病毒刪除登錄檔HKLM\SoftWae\Plicies\Microsoft\Windows\Safer鍵和子鍵。並會反覆改寫。　　6）自動執行，病毒在每個硬盤分區根目錄下生成的autorun.inf和pagefile.pif，是以獨佔式打開的，無法直接刪除。　　7）阻止其他安全軟體隨機啟動，病毒刪除登錄檔整個RUN項和子鍵。　　8）阻止使用映像劫持方法禁止病毒執行，病毒刪除登錄檔整個Image File Execution Options項和子鍵。　　9）病毒自保護，病毒釋放以下檔案：　　%Systemroot%\system32\Com\smss.exe 　　%Systemroot%\system32\Com\netcfg.000 　　%Systemroot%\system32\Com\netcfg.dll 　　%Systemroot%\system32\Com\lsass.exe 　　隨後smss.exe和lsass.exe會執行起來，由於和系統處裡程序名相同（路徑不同），工作管理員無法將它們直接結束。病毒在檢測到這兩個處裡程序被關閉後，會立即再次啟動；如果啟動被阻止，病毒就會立即重啟系統。　　10）對抗分析檢測，病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後，再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。　　危害性　　1）病毒會自動下載自己的最新版本，和其他一些木馬到本地執行　　2）病毒會感染用戶機器上的exe檔案，包括壓縮包檔的exe檔案，並會通過UPX加殼。　　3）盜取用戶虛擬資產和其他有用信息　　用戶環境的表現　　1）防毒軟體和安全工具無法執行　　2）進入安全模式藍屏　　3）由於Exe檔案被感染，重裝系統無效　　4）用戶信息丟失，甚至有些程式無法使用此帖於 2008-03-18 11:28 PM 被 plunderer 編輯.
	__________________ 刑天舞干戚
	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

相似的主題
主題	主題作者	討論區	回覆	最後發表
硬體 - 磁碟陣列(RAID)原理詳細介紹	crd1871	資訊系統安全備援防護技術文件	0	2007-07-03 09:21 AM

Google 提供的廣告