Worm.VcingT.w.102400分析報告
病毒名稱:Worm.VcingT.w.102400
中文名稱:磁碟機變種
病毒長度:36864
威脅級別:2
病毒類型:Trojan
病毒簡介:
這是一個下載者病毒,會關閉一些安全工具和殺毒軟體並阻止其運行運行,並會不斷檢測窗口來關閉一些殺毒軟體及安全輔助工具,破壞安全模式,刪除一些殺毒軟體和實時監控的服務,遠程注入到其它進程來啟動被結束進程的病毒,反覆寫註冊表來破壞系統安全模式,病毒會在每個分區下釋放 AUTORUN.INF 來達到自運行。
病毒功能:
一、病毒通過修改系統默認加載的DLL 列表項來實現DLL 注入,並在注入後設置全局鉤子.通過遠程進程注入,並檢測是否有相應安全軟體和管理工具。通過枚舉進程名,通過搜索以下關鍵字來關閉進程:
|
找到帶有關鍵字的窗口後,就往目標窗口發送大量的垃圾消息,是其無法處理而進入假死的狀態,當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。
病毒關閉殺毒軟體的方法沒有什麼創新,但關鍵字變的更短,使一些名字相近的進程或窗口也被關閉。
二、修改註冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示。
三、刪除註冊表裡關於安全模式設置的值,使安全模式被破壞。
病毒會反覆改寫註冊表,在病毒被徹底清除之前,使清理專家和AV 終結者專殺等修復安全模式的工具失效。
四、在C: 盤目錄下釋放一個 NetApi00.sys 的驅動文件,通過該驅動隱藏和保護自身。
五、令軟體限制策略失效
刪除註冊表 HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer 鍵及其子鍵,使用戶設定組策略中的軟體限制策略的設置失效。顯然該病毒作者是根據部分技術型網友的清除方法作了改進,因為此前有網友建議配置軟體限制策略 令磁碟機病毒無法運行。
六、不斷刪除註冊表的關鍵鍵值,來破壞安全模式和殺毒軟體和主動防禦的服務,使很多主動防禦軟體和實時監控無法再被開啟。
七、病毒在每個硬碟分區和可移動硬碟的根目錄下釋放autorun.inf和pagefile.pif兩個文件,來達到自運行的目的。並以獨佔方式打開這兩個文件,使其無法被直接刪除、訪問和拷貝。
八、病毒為了不讓一些安全工具自啟動,把註冊表的整個RUN項及其子鍵全部刪除,並且刪除全部的映像劫持項(意圖不明,大概是為了防止一些利用映像劫持的病毒免疫)。
九、病毒釋放以下文件:
|
然後運行SMSS.EXE 和 LSASS.EXE,進程中會出現多個smss.exe和LSASS.EXE,和系統正常進程同步,以迷惑管理員查看進程。
十、 病毒通過重啟重命名方式加載,位於註冊表HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/ BackupRestore/KeysNotToRestore下的Pending Rename Operations字串。
病毒通過修改註冊表的來把C:/ 下的0357589.log 文件(0357589是一些不固定的數字 ) 改名到「啟動」文件夾下的~.exe.664406.exe (664406 也不固定)。
重啟重命名的執行優先級比傳統的自啟動(一般指HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run)要高,啟動完成後又將自己刪除或改名回去。這種方式自啟動極為隱蔽,現有的安全工具都無法檢測的出來。AV終結者專殺無法徹底清除這個磁碟機變種,正是因為這個原因!
十一、 病毒會自動下載最新版本和其它的一些病毒木馬到本地運行
十二、 病毒會感染除SYSTEM32 目錄外其它目錄下的所有可執行文件。
並且會感染壓縮包內的文件,若機器安裝了WinRAR會調用其中rar.exe釋放到臨時文件夾,感染壓縮包內文件再打包。
這個病毒太有創意了,這個東西可是被很多人忽視的。原來安全的WinRAR壓縮包,病毒解壓感染過再打包。
感染途徑:
1. 可移動硬碟的自運行
2. 其它下載者病毒或受感染帶毒文件
3. 惡意網站下載
4. 內網ARP攻擊
手動清除:
首先把HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager下的PendingFileRenameOperations 值刪除掉,讓它的重啟重命名失效!(懷疑這一招病毒會很快令其失效,就和前面一樣,隔段時間重複檢查和刪除這個鍵值。)
然後再把機子斷電,或異常重啟(總之不能正常關機!)。
啥,你不清楚怎麼搞?直接拔電源線就是了。因為該病毒新變種在關機的時候往啟動項寫病毒,開機的時候自殺,導致一般殺毒軟體查不到,但非法關機可以使它關機的時候生不成病毒。
重啟後,先別打開盤符,(用好資源管理器,別習慣雙擊打開盤符)在 CMD 命令行下將各個分區下的 autorun.inf 和 pagefile.pif 文件刪除。然後使用專殺或殺毒軟體全盤掃瞄病毒,因為該病毒可以感染除system32目錄外的其它EXE程序,導致該病毒很難用手工方法徹底刪除,建議升級殺毒軟體後進行全盤殺毒。
金山毒霸版本磁碟機專殺工具下載鏈接:
http://bbs.security.ccidnet.com/read.php?tid=582606
該工具可同時清除磁碟機、機器狗和AV終結者。
如果各位發現自己的電腦符合磁碟機病毒感染的特徵,使用磁碟機專殺也沒能解決這個問題,請及時在病毒求助專區(http://bbs.security.ccidnet.com/thread.php?fid=87)發貼求助,以便我們及時跟進,發貼請在主題中加注「【求助】【磁碟機】」字樣。多謝合作!
(