廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1899 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 病毒知識:網上“曬”病毒 磁碟機詳盡分析報告
病毒知識:網上“曬”病毒 磁碟機詳盡分析報告
來源:賽迪網 時間:2008-03-27 10:03:15


“磁碟機”病毒是一個MFC寫的感染型病毒。病毒運行後首先會在C盤根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢複SSDT,把殺毒軟件挂的鈎子全部卸掉。然後在System32路徑下的com文件夾中釋放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。

然後該程序退出,運行剛剛釋放的lsass.exe。

lsass.exe運行後,會在com文件夾下重新釋放剛才所釋放的文件,同時會在system32文件夾下釋放一個新的動態庫文件dnsq.dll,然後生成兩個隨機名的log文件該文件是lsass.exe和dnsq.dll的副本,然後進行以下操作:

1.從以下網址下載腳本http://w....****.****/*.htm、.....。

2.生成名爲”MCI Program Com Application”的窗口。

3.程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。

4.查找帶以下關鍵字的窗口,查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:RsRavMon、McShield、PAVSRV…

5.啓動regsvr32.exe進程,把動態庫netcfg.dll注到該進程中。

6.遍曆磁盤,在所有磁盤中添加autorun.inf和pagefile.pif,使得用戶打開磁盤的同時運行病毒。

7.通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。

8.感染可執行文件,當找個可執行文件時,把正常文件放在自己最後一個節中,通過病毒自身所帶的種子值對正常文件進行加密。

smss.exe用來實現進程保護,程序運行後會進行以下操作:

1.創建一個名爲xgahrez的互斥體,防止進程中有多個實例運行。

2.然後創建一個名爲MSICTFIME SMSS的窗口,該窗口會對三種消息做出反應:

(1)WM_QUERYENDSESSION:當收到該消息時,程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。

(2)WM_TIMER:該程序會設置一個時鍾,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到則運行病毒程序。

(3)WM_CAP_START:當收到該消息時,向其發送退出消息。

3.把lsass.exe拷貝到C盤根目錄下命名爲037589.log,同時把該文件拷到啓動目錄下實現自啓動。

dnsq.dll通過挂接全局消息鈎子,把自己注到所有進程中,該動態庫主要用來HOOK API和重寫注冊表。動態庫被加載後會進行以下操作:

(1)判斷自己所在進程是否是lsass.exe、smss.exe、alg.exe,如果是則退出。

(2)HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle這幾個API使得殺毒軟件無法查殺病毒進程。

(3)遍曆進程如果進程名爲lsass.exe、smss.exe、alg.exe則直接退出,如果是其他進程則創建一個線程,該線程每隔2秒進行以下操作:

a.修改以下鍵值使得用戶無法看到隱藏的受保護的係統文件

HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

b.刪除以下注冊表鍵值使得用戶無法進入安全模式

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\

{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

{4D36E967-E325-11CE-BFC1-08002BE10318}

c.刪除以下注冊表項,使得鏡像劫持失效

HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options

d.讀取以下注冊表鍵值,判斷當前係統是否允許移動設備自動運行,如果不允許則修改爲允許

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun

e.修改以下注冊表項使得手動修改以下鍵值無效

HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\SuperHiddenType = radio

f.添加以下注冊表項使得開機時,係統會把該動態庫注到大部分進程中

HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Windows AppInit_DLLs = %SYSTEM%\dnsq.dll.

g.通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。

h.查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:

SREng 介紹、360safe、木、antivir、…

netcfg.dll主要用來下載文件,動態庫被加載後會從以下網址下載病毒程序

hxxp://js.k0102.com/data.gif,查找窗口”MCI Program Com Application”如果該窗口不存在則運行下載的程序。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-04-03 02:21 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.051943 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言