史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2008-03-18, 10:57 PM   #1
plunderer
長老會員
 
plunderer 的頭像
榮譽勳章
UID - 74024
在線等級: 級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時
註冊日期: 2003-05-31
文章: 1399
精華: 0
現金: 507220 金幣
資產: 608580 金幣
預設 討論 - 新一代的毒王 -- "磁碟機" 病毒全面解析



【轉貼】
磁碟機病毒並不是一個新病毒,早在2007年2月的時候,就已經初現端倪。當時它僅僅作為一種蠕蟲病毒,成為所有反病毒工作者的關注目標。而當時這種病毒的行為,也僅僅局限於,在系統目錄%system%\system32\com\生成lsass.exe和smss.exe,感染用戶電腦上的exe檔案。
   病毒在此時的傳播量和處理的技術難度都不大。
   然而在病毒作者經過長達一年的辛勤工作--數據表明,病毒作者幾乎每兩天就會更新一次病毒--之後,並吸取了其他病毒的特點(例如臭名昭著的AV終結者,攻擊破壞安全軟體和檢測工具),結合了目前病毒流行的傳播手段,逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。
  
傳播性
  1)在網站上掛馬,在用戶訪問一些不安全的網站時,就會被植入病毒。這也是早期磁碟機最主要的傳播方式;
  2)通過USB 隨身碟等可攜式儲存裝置的Autorun傳播,染毒的機器會在每個分區(包括可攜式儲存裝置)根目錄下釋放autorun.inf和pagefile.pif兩個檔案。達到自動執行的目的。
  3)區域網內的ARP傳播方式,磁碟機病毒會下載其他的ARP病毒,並利用ARP病毒傳播的隱蔽性,在區域網內傳播。值得注意的是:病毒之間相互利用,狼狽為奸已經成為現在流行病的一個主要趨勢,利用其它病毒的特點彌補自身的不足。
  
隱蔽性
  1)傳播的隱蔽性:從上面的描述可以看出,病毒在傳播過程中,所利用的技術手段都是用戶,甚至是防毒軟體無法截獲的。
  2)啟動的隱蔽性:病毒不會主動添加啟動項(這是為了逃避系統診斷工具的檢測,也是其針對性的體現),而是通過重啟重命名方式把C:\下的XXXX.log檔案(XXXX是一些不固定的數字),改名到"啟動"資料夾。重啟重命名優先於自啟動,啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的,使得當前大多數防毒軟體無法有效避免病毒隨機啟動。
  
針對性
  1)關閉安全軟體,病毒設定全局掛接(Hook),根據關鍵字關閉防毒軟體和診斷工具
  關鍵字舉例:360safe、Escan、瑞、金山、防、SREng、升、木、KV、 診、工具、ARP、微點、Firewall、掃瞄、Mcagent、Metapad ……
  另外,病毒還能枚舉當前處裡程序名,根據關鍵字Rav、avp、kv、kissvc、scan…來結束處裡程序。
  2)破壞檔案的顯示方式,病毒修改登錄檔,使得資料夾選項的隱藏屬性被修改,使得隱藏檔案無法顯示,逃避被用戶手動刪除的可能
  3)破壞安全模式,病毒會刪除登錄檔中和安全模式相關的值,使得安全模式被破壞,無法進入;為了避免安全模式被其他工具修復,病毒還會反覆改寫登錄檔。
  4)破壞防毒軟體的自保護,病毒會在C盤釋放一個NetApi00.sys的驅動檔案,並通過服務加載,使得很多防毒軟體的監控和主動防禦失效,目的達到後,病毒會將驅動刪除,消除痕跡。
  5)破壞安全策略,病毒刪除登錄檔HKLM\SoftWae\Plicies\Microsoft\Windows\Safer鍵和子鍵。並會反覆改寫。
  6)自動執行,病毒在每個硬盤分區根目錄下生成的autorun.inf和pagefile.pif,是以獨佔式打開的,無法直接刪除。
  7)阻止其他安全軟體隨機啟動,病毒刪除登錄檔整個RUN項和子鍵。
  8)阻止使用映像劫持方法禁止病毒執行,病毒刪除登錄檔整個Image File Execution Options項和子鍵。
  9)病毒自保護,病毒釋放以下檔案:
  %Systemroot%\system32\Com\smss.exe
  %Systemroot%\system32\Com\netcfg.000
  %Systemroot%\system32\Com\netcfg.dll
  %Systemroot%\system32\Com\lsass.exe
  隨後smss.exe和lsass.exe會執行起來,由於和系統處裡程序名相同(路徑不同),工作管理員無法將它們直接結束。病毒在檢測到這兩個處裡程序被關閉後,會立即再次啟動;如果啟動被阻止,病毒就會立即重啟系統。
  10)對抗分析檢測,病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後,再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。
  
危害性
  1)病毒會自動下載自己的最新版本,和其他一些木馬到本地執行
  2)病毒會感染用戶機器上的exe檔案,包括壓縮包檔的exe檔案,並會通過UPX加殼。
  3)盜取用戶虛擬資產和其他有用信息
  
用戶環境的表現
  1)防毒軟體和安全工具無法執行
  2)進入安全模式藍屏
  3)由於Exe檔案被感染,重裝系統無效
  4)用戶信息丟失,甚至有些程式無法使用

此帖於 2008-03-18 11:28 PM 被 plunderer 編輯.
__________________
刑天舞干戚
plunderer 目前離線  
送花文章: 6, 收花文章: 575 篇, 收花: 1747 次
回覆時引用此帖
有 6 位會員向 plunderer 送花:
bluerock (2008-03-19),superxboy (2008-03-20),tmsyy (2008-03-19),yenlu5112 (2008-03-18),zazoo (2008-03-18),古里特 (2008-03-20)
感謝您發表一篇好文章
發文 回覆



發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:12 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1