新一代毒王誕生 警惕磁碟機(jī)危害政企

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

背景介紹

磁碟機(jī)病毒并不是一個(gè)新病毒，早在2007年2月的時(shí)候，就已經(jīng)初現(xiàn)端倪。當(dāng)時(shí)它僅僅作為一種蠕蟲(chóng)病毒，成為所有反病毒工作者的關(guān)注目標(biāo)。而當(dāng)時(shí)這種病毒的行為，也僅僅局限于，在系統(tǒng)目錄%system%system32com生成lsass.exe和smss.exe，感染用戶(hù)電腦上的 exe文件。病毒在此時(shí)的傳播量和處理的技術(shù)難度都不大。

然而在病毒作者經(jīng)過(guò)長(zhǎng)達(dá)一年的辛勤工作——數(shù)據(jù)表明，病毒作者幾乎每?jī)商炀蜁?huì)更新一次病毒——之后，并吸取了其他病毒的特點(diǎn)（例如臭名昭著的AV終結(jié)者，攻擊破壞安全軟件和檢測(cè)工具），結(jié)合了目前病毒流行的傳播手段，逐漸發(fā)展為目前感染量、破壞性、清除難度都超過(guò)同期病毒的新一代毒王。

病毒特征

傳播性

1）在網(wǎng)站上掛馬，在用戶(hù)訪問(wèn)一些不安全的網(wǎng)站時(shí)，就會(huì)被植入病毒。這也是早期磁碟機(jī)最主要的傳播方式；

2）通過(guò)U盤(pán)等移動(dòng)存儲(chǔ)的Autorun傳播，染毒的機(jī)器會(huì)在每個(gè)分區(qū)（包括可移動(dòng)存儲(chǔ)設(shè)備）根目錄下釋放autorun.inf和pagefile.pif兩個(gè)文件。達(dá)到自動(dòng)運(yùn)行的目的。

3）局域網(wǎng)內(nèi)的ARP傳播方式，磁碟機(jī)病毒會(huì)下載其他的ARP病毒，并利用ARP病毒傳播的隱蔽性，在局域網(wǎng)內(nèi)傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經(jīng)成為現(xiàn)在流行病的一個(gè)主要趨勢(shì)，利用其它病毒的特點(diǎn)彌補(bǔ)自身的不足。

隱蔽性

1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過(guò)程中，所利用的技術(shù)手段都是用戶(hù)，甚至是殺毒軟件無(wú)法截獲的。

2）啟動(dòng)的隱蔽性：病毒不會(huì)主動(dòng)添加啟動(dòng)項(xiàng)（這是為了逃避系統(tǒng)診斷工具的檢測(cè)，也是其針對(duì)性的體現(xiàn)），而是通過(guò)重啟重命名方式把C:下的XXXX.log文件（XXXX是一些不固定的數(shù)字），改名到“啟動(dòng)”文件夾。重啟重命名優(yōu)先于自啟動(dòng)，啟動(dòng)完成之后又將自己刪除或改名回去。已達(dá)到逃避安全工具檢測(cè)的目的，使得當(dāng)前大多數(shù)殺毒軟件無(wú)法有效避免病毒隨機(jī)啟動(dòng)。

針對(duì)性

1）關(guān)閉安全軟件，病毒設(shè)置全局鉤子，根據(jù)關(guān)鍵字關(guān)閉殺毒軟件和診斷工具

另外，病毒還能枚舉當(dāng)前進(jìn)程名，根據(jù)關(guān)鍵字Rav、avp、kv、kissvc、scan…來(lái)結(jié)束進(jìn)程。

2）破壞文件的顯示方式，病毒修改注冊(cè)表，使得文件夾選項(xiàng)的隱藏屬性被修改，使得隱藏文件無(wú)法顯示，逃避被用戶(hù)手動(dòng)刪除的可能

3）破壞安全模式，病毒會(huì)刪除注冊(cè)表中和安全模式相關(guān)的值，使得安全模式被破壞，無(wú)法進(jìn)入；為了避免安全模式被其他工具修復(fù)，病毒還會(huì)反復(fù)改寫(xiě)注冊(cè)表。

4）破壞殺毒軟件的自保護(hù)，病毒會(huì)在C盤(pán)釋放一個(gè)NetApi00.sys的驅(qū)動(dòng)文件，并通過(guò)服務(wù)加載，使得很多殺毒軟件的監(jiān)控和主動(dòng)防御失效，目的達(dá)到后，病毒會(huì)將驅(qū)動(dòng)刪除，消除痕跡。

5）破壞安全策略，病毒刪除注冊(cè)表HKLMSoftWaePliciesMicrosoftWindowsSafer鍵和子鍵。并會(huì)反復(fù)改寫(xiě)。

6）自動(dòng)運(yùn)行，病毒在每個(gè)硬盤(pán)分區(qū)根目錄下生成的autorun.inf和pagefile.pif，是以獨(dú)占式打開(kāi)的，無(wú)法直接刪除。

7）阻止其他安全軟件隨機(jī)啟動(dòng)，病毒刪除注冊(cè)表整個(gè)RUN項(xiàng)和子鍵。

8）阻止使用映像劫持方法禁止病毒運(yùn)行，病毒刪除注冊(cè)表整個(gè)Image File Execution Options項(xiàng)和子鍵。

9）病毒自保護(hù)，病毒釋放以下文件：

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

隨后smss.exe和lsass.exe會(huì)運(yùn)行起來(lái)，由于和系統(tǒng)進(jìn)程名相同（路徑不同），任務(wù)管理器無(wú)法將它們直接結(jié)束。病毒在檢測(cè)到這兩個(gè)進(jìn)程被關(guān)閉后，會(huì)立即再次啟動(dòng)；如果啟動(dòng)被阻止，病毒就會(huì)立即重啟系統(tǒng)。

10）對(duì)抗分析檢測(cè)，病毒不會(huì)立即對(duì)系統(tǒng)進(jìn)行破壞。而會(huì)在系統(tǒng)中潛伏一段時(shí)間之后，再開(kāi)始活動(dòng)。這樣的行為使得無(wú)法通過(guò)Installwatch等系統(tǒng)快照工具跟蹤到病毒的行為。

危害性

1）病毒會(huì)自動(dòng)下載自己的最新版本，和其他一些木馬到本地運(yùn)行

2）病毒會(huì)感染用戶(hù)機(jī)器上的exe文件，包括壓縮包內(nèi)的exe文件，并會(huì)通過(guò)UPX加殼。

3）盜取用戶(hù)虛擬資產(chǎn)和其他有用信息

用戶(hù)環(huán)境的表現(xiàn)

1）殺毒軟件和安全工具無(wú)法運(yùn)行

2）進(jìn)入安全模式藍(lán)屏

3）由于Exe文件被感染，重裝系統(tǒng)無(wú)效

4）用戶(hù)信息丟失，甚至有些程序無(wú)法使用

應(yīng)對(duì)措施

專(zhuān)殺工具

在徹底分析了磁碟機(jī)新變種的行為特征之后，毒霸引擎組啟動(dòng)應(yīng)急流程，利用各種資源全面剿滅磁碟機(jī)病毒。在短短三天時(shí)間內(nèi)，已經(jīng)連續(xù)開(kāi)發(fā)并測(cè)試發(fā)布了磁碟機(jī)專(zhuān)殺工具5.5、5.6、5.7三個(gè)版本（還將根據(jù)用戶(hù)的反饋，繼續(xù)跟進(jìn)和完善）。并且針對(duì)于磁碟機(jī)具有感染性的特點(diǎn)，在專(zhuān)殺工具中首次集成了引擎和病毒庫(kù)。已經(jīng)可以很好的查殺并清除磁碟機(jī)病毒。（51CTO）