“磁碟机”病毒大规模爆发,请注意!
了解“磁碟机”病毒会做什么1、在C盘根目录下释放驱动NetApi000.sys,卸掉杀毒软件的钩子,使其监控失效。
2、从以下网站下载新病毒:
http://www.***.**/*.htm
[url]http://js.k[/url]***.**/**.asp
[url]http://js.k0[/url]****.**/**.asp
http://js.***.**/***.asp
http://js.***.**/****.gif
3、删除注册表启动项键值,使病毒外的所有软件无法自启动。例如QQ、msn等可以自行启动的软件就会起不来。
4、搜索窗口字符,强行关闭杀毒软件和专杀工具。
5、在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘传播
6、通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程,无法删除,无法手工结束
7、感染可执行文件,对正常文件进行加密,如果杀毒,则会造成这些文件损坏。
8、双进程守护,每隔0.2秒检查一下自己是否存在,如不存在则重新启动。
9、修改注册表,使得用户无法进入安全模式,无法显示隐藏的系统文件。
10、检查注册表,如果系统不允许U盘自动运行,则修改之,使U盘中的病毒可以自动运行。
--------------------------------------------------------------------------------------------------------
“磁碟机”病毒分析报告
这是一个MFC写的感染型病毒。
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1. 从以下网址下载脚本http://www.****.****/*.htm、.....。
2. 生成名为”MCI Program Com Application”的窗口。
3. 程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4. 查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5. 启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6. 遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7. 通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8. 感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
smss.exe用来实现进程保护,程序运行后会进行以下操作:
1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。
2.然后创建一个名为MSICTFIME SMSS的窗口,该窗口会对三种消息做出反应:
1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到则运行病毒程序。
3.WM_CAP_START:当收到该消息时,向其发送退出消息。
3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。
dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作:
1. 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
3. 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
2.删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
3.删除以下注册表项,使得镜像劫持失效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = radio
6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = %SYSTEM%\dnsq.dll.
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.查找带以下关键字的窗口,如果找到则向其发消息将其退出:
SREng 介绍、360safe、木、antivir、…
netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序
[img]http://js.k0102.com/data.gif[/img],查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。 “磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一,中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
应对策略如下:
[初级用户] 使用“磁碟机”专杀工具处理
下载地址:[url]http://download.rising.com.cn/zsgj/ravDiskGen.exe[/url]
优化版“磁碟机”专杀工具(推荐使用)
下载地址:[url]http://forum.ikaka.com/topic.asp?board=109&artid=8436751[/url]
<使用前必读>
1、务必事先断开网络,最简单的方法是拔掉网线或禁用网卡;关闭已启动的其他应用程序;
2、判断专杀工具本身是否已被感染(见附图),通过对比不难发现染毒文件的图标明显发生变化,属性中缺少“版本”标签,文件大小也比正常的大;
3、第一次运行专杀工具查杀时,如果专杀发现计算机感染有磁碟机病毒,会提示重启计算机,选择重启后立即打开专杀工具进行第二次查杀;
4、如查杀过程中出现异常(如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等),无需理会,重启后用专杀工具重新进行杀毒即可;
5、专杀工具查杀不到病毒后,请修复或重新安装本机的杀毒软件、防火墙;
6、杀毒软件正常运行后需立即升级,再使用最新版本的杀毒软件在断网情况下全盘扫描(一定要全盘扫描,不要只查杀C盘!);
7、如操作中遇到任何问题,请在反病毒论坛内发帖求助,标题注明“磁碟机病毒咨询”,以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机,需要重启,重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹,且无法删除导致的,可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀
[高级用户]可参考以下手工处理方法:
1、猫叔的《菜鸟也能灭掉“磁碟机”》
[url]http://forum.ikaka.com/topic.asp?board=28&artid=8427464[/url]
2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
[url]http://forum.ikaka.com/topic.asp?board=28&artid=8413635[/url]
3、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:[url]http://forum.ikaka.com/topic.asp?board=28&artid=8381032[/url]
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————
常用工具下载:
XDelBox下载:
[url]http://www.dodudou.com/down/[/url] 打开后选择【原创软件】,下载“XDELBOX 磁碟机专用测试版”
冰刃下载:[url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip[/url]
windows清理助手下载:[url]http://www.arswp.com/download.html[/url]
修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
[url]http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip[/url]
清理临时文件工具ATF-Cleaner-cn下载:
[url]http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip[/url]
IframeKill下载:(快速清除网页文件中的恶意代码)
[url]http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip[/url] [url]http://www.360.cn/[/url]
这是360安全卫士的网站,有时间多去了解一下。
我们不仅要会玩,而且还要维护好自己心爱的电脑,如果它和耍起小脾气,也够你受的。 o(∩_∩)o...不错 又学到点东西 o(∩_∩)o... 系统安全知识:病毒引起的16种系统异常现象
1、 屏幕显示异常,显示出不是由正常程序产生的特殊画面或字符串,或屏幕显示混乱等现象。
2、 电源正常的情况下,系统突然自行重新引导。
3、 内存空间不应有的减少。
4、 程序的运行时间显著加长。
5、 系统无故死锁。
6、 扬声器发出不是由正常程序产生的异常声响或乐曲。
7、 文件发生不应有的变化(主要是可执行文件),如文件长度突然增加,日期、时间被改变等,有时是文件莫名其妙地丢失或被破坏。
8、 磁盘坏区突然增多,卷标自行变化。
9、 本来可以工作的软件突然不能工作或工作不正常,字库或数据库无故不能使用。
10、 在没有安排向磁盘读写数据时,磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。
11、 打印机突然工作不正常,如打印机接而不通
12、 硬盘C不能启动系统。
13、 用软盘引导系统时,结果却变成C盘启动。
14、 系统经常出现“写保护错”的提示信息。
15、 命令处理文件COMMAND.COM被修改。
16、 磁盘上出现用户不能识别的文件。 输入:开机!
电脑回复:密码错误!请从新输入。 (有点郁闷)
再次输入:快开机!
电脑回复:密码错误!请从新输入。。。...
输入:你奶奶的,再不开机就把你砸了!!! 电脑回复:密码正确!程序加载中。
(王八里的网官最喜欢的话,不行自己重起!!!) 啊 这么恨!!!:funk: :funk: :funk: 以后注意点!!!! 可不要来找我电脑………………:Q :Q 希望去找你的!!!
【禁闭】中~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我怎么觉得 我们第四军团成了 工会 中心拉!!! :L :L 全工会 个个军团里的人怎么全都跑我们 军团来拉@@@@@@!!!!! 我想我没这样的吸引力吧!!!! :o :o :o
我可不是黑洞 现在中病毒,杀毒软件杀不了,直接重做系统,多简单啊,嘿嘿 :) 哈哈 我在网吧 不用担心那些 :) [quote]原帖由 [i]sky青龙[/i] 于 2008-4-9 16:41 发表 [url=http://www.3kdc.com/bbs/redirect.php?goto=findpost&pid=45678&ptid=11227][img]http://www.3kdc.com/bbs/images/common/back.gif[/img][/url]
现在中病毒,杀毒软件杀不了,直接重做系统,多简单啊,嘿嘿 [/quote]
从做系统? 想法果然很天真,现在有一种病毒,可以直接把硬盘穿透...到时候.别哭的找不找调....
页:
[1]