廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2014 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 磁碟機”病毒分析報告
磁碟機”病毒分析報告

這是一個MFC寫的感染型病毒。
  病毒運行後首先會在C盤根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢複SSDT,把殺毒軟件挂的鈎子全部卸掉。然後在System32路徑下的com文件夾中釋放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。  
然後該程序退出,運行剛剛釋放的lsass.exe。
  lsass.exe運行後,會在com文件夾下重新釋放剛才所釋放的文件,同時會在system32文件夾下釋放一個新的動態庫文件dnsq.dll,然後生成兩個隨機名的log文件該文件是lsass.exe和dnsq.dll的副本,然後進行以下操作:

  1. 從以下網址下載腳本http://w....****.****/*.htm、.....。
  2. 生成名爲”MCI Program Com Application”的窗口。
  3. 程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
  4. 查找帶以下關鍵字的窗口,查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:RsRavMon、McShield、PAVSRV…  5. 啓動regsvr32.exe進程,把動態庫netcfg.dll注到該進程中。
  6. 遍曆磁盤,在所有磁盤中添加autorun.inf和pagefile.pif,使得用戶打開磁盤的同時運行病毒。
  7. 通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。
  8. 感染可執行文件,當找個可執行文件時,把正常文件放在自己最後一個節中,通過病毒自身所帶的種子值對正常文件進行加密。
  smss.exe用來實現進程保護,程序運行後會進行以下操作:
  1.創建一個名爲xgahrez的互斥體,防止進程中有多個實例運行。
  2.然後創建一個名爲MSICTFIME SMSS的窗口,該窗口會對三種消息做出反應:
  1.WM_QUERYENDSESSION:當收到該消息時,程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
  2.WM_TIMER:該程序會設置一個時鍾,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到則運行病毒程序。   3.WM_CAP_START:當收到該消息時,向其發送退出消息。
  3.把lsass.exe拷貝到C盤根目錄下命名爲037589.log,同時把該文件拷到啓動目錄下實現自啓動。  
  dnsq.dll通過挂接全局消息鈎子,把自己注到所有進程中,該動態庫主要用來HOOK API和重寫注冊表。
動態庫被加載後會進行以下操作:
  1. 判斷自己所在進程是否是lsass.exe、smss.exe、alg.exe,如果是則退出。
  2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle這幾個API使得殺毒軟件無法查殺病毒進程。
  3. 遍曆進程如果進程名爲lsass.exe、smss.exe、alg.exe則直接退出,如果是其他進程則創建一個線程,該線程每隔2秒進行以下操作:
  1.修改以下鍵值使得用戶無法看到隱藏的受保護的係統文件 
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
  2.刪除以下注冊表鍵值使得用戶無法進入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
  HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
  HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
  3.刪除以下注冊表項,使得鏡像劫持失效
  HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
  4.讀取以下注冊表鍵值,判斷當前係統是否允許移動設備自動運行,如果不允許則修改爲允許
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  NoDriveTypeAutoRun
  5.修改以下注冊表項使得手動修改以下鍵值無效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
  Type = radio
  6.添加以下注冊表項使得開機時,係統會把該動態庫注到大部分進程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
  AppInit_DLLs = %SYSTEM%\dnsq.dll
  7.通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。
  8.查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:
SREng 介紹、360safe、木、antivir、…
  netcfg.dll主要用來下載文件,動態庫被加載後會從以下網址下載病毒程序
,查找窗口”MCI Program Com Application”如果該窗口不存在則運行下載的程序。


[ 此文章被upside在2008-09-03 01:30重新編輯 ]



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-09-03 01:22 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.073542 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言