病毒知識:網上“曬”病毒 磁碟機詳盡分析報告
來源:賽迪網 時間:2008-03-27 10:03:15
“磁碟機”病毒是一個MFC寫的感染型病毒。病毒運行後首先會在C盤根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢複SSDT,把殺毒軟件挂的鈎子全部卸掉。然後在System32路徑下的com文件夾中釋放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然後該程序退出,運行剛剛釋放的lsass.exe。
lsass.exe運行後,會在com文件夾下重新釋放剛才所釋放的文件,同時會在system32文件夾下釋放一個新的動態庫文件dnsq.dll,然後生成兩個隨機名的log文件該文件是lsass.exe和dnsq.dll的副本,然後進行以下操作:
1.從以下網址下載腳本
http://w....****.****/*.htm、.....。
2.生成名爲”MCI Program Com Application”的窗口。
3.程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
4.查找帶以下關鍵字的窗口,查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:RsRavMon、McShield、PAVSRV…
5.啓動regsvr32.exe進程,把動態庫netcfg.dll注到該進程中。
6.遍曆磁盤,在所有磁盤中添加autorun.inf和pagefile.pif,使得用戶打開磁盤的同時運行病毒。
7.通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。
8.感染可執行文件,當找個可執行文件時,把正常文件放在自己最後一個節中,通過病毒自身所帶的種子值對正常文件進行加密。
smss.exe用來實現進程保護,程序運行後會進行以下操作:
1.創建一個名爲xgahrez的互斥體,防止進程中有多個實例運行。
2.然後創建一個名爲MSICTFIME SMSS的窗口,該窗口會對三種消息做出反應:
(1)WM_QUERYENDSESSION:當收到該消息時,程序會刪除注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
(2)WM_TIMER:該程序會設置一個時鍾,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到則運行病毒程序。
(3)WM_CAP_START:當收到該消息時,向其發送退出消息。
3.把lsass.exe拷貝到C盤根目錄下命名爲037589.log,同時把該文件拷到啓動目錄下實現自啓動。
dnsq.dll通過挂接全局消息鈎子,把自己注到所有進程中,該動態庫主要用來HOOK API和重寫注冊表。動態庫被加載後會進行以下操作:
(1)判斷自己所在進程是否是lsass.exe、smss.exe、alg.exe,如果是則退出。
(2)HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle這幾個API使得殺毒軟件無法查殺病毒進程。
(3)遍曆進程如果進程名爲lsass.exe、smss.exe、alg.exe則直接退出,如果是其他進程則創建一個線程,該線程每隔2秒進行以下操作:
a.修改以下鍵值使得用戶無法看到隱藏的受保護的係統文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
b.刪除以下注冊表鍵值使得用戶無法進入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
c.刪除以下注冊表項,使得鏡像劫持失效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
d.讀取以下注冊表鍵值,判斷當前係統是否允許移動設備自動運行,如果不允許則修改爲允許
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
e.修改以下注冊表項使得手動修改以下鍵值無效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHiddenType = radio
f.添加以下注冊表項使得開機時,係統會把該動態庫注到大部分進程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows AppInit_DLLs = %SYSTEM%\dnsq.dll.
g.通過calcs命令啓動病毒進程得到完全控制權限,使得其他進程無法訪問該進程。
h.查找帶以下關鍵字的窗口,如果找到則向其發消息將其退出:
SREng 介紹、360safe、木、antivir、…
netcfg.dll主要用來下載文件,動態庫被加載後會從以下網址下載病毒程序
hxxp://js.k0102.com/data.gif,查找窗口”MCI Program Com Application”如果該窗口不存在則運行下載的程序。