磁碟機木馬病毒最近成為安全領域的熱門話題,據悉,進入3月以來,『磁碟機』木馬作者已經更新了數次,感染率和破壞力正逐步提高。該病毒運行後關閉並阻止防毒軟體的運行,感染後,進程中會多出smss.exe和 lsass.exe進程,使用任務管理器結束後會造成計算機重啟,並自動下載大量的木馬到本地機器。
據分析,該木馬使用的關閉安全軟件的方 法和以往不同,其通過發生一堆垃圾消息,導致安全程序的崩潰,連icesword(冰刃)也未能幸免。其在運行後,會在system32的Com目錄下生 成smss.exe,lsass.exe, netcfg.dll等文件並在system32下生成dsnq.dll文件,在關機瞬間會寫一個文件到開始菜單的啟動項中;
需要注意的是,該病毒使用極其惡毒的感染方式,感染除SYSTEM32目錄外其它目錄下的所有可執行文件(*.exe),導致文件被感染後無法使用且部分 文件無法恢復。
中了磁碟機病毒後,它會在windows系統目錄下生成lsass.exe及smss.exe文件,並且修改系統時間為1980年,當時這個病毒不是以下載器為目的的,自身也有較多BUG,入侵後,容易引起系統藍屏死機。以後的變種逐步吸收了AV終結者和機器狗的特性,對抗安全軟件的能力逐步增強。
磁碟機病毒至今已有多個變種,該病毒感染系統之後,會像螞蟻搬家一樣將更多木馬下載到本地運行,以盜號木馬為主。同時,磁碟機病毒還會下載其它木馬下載器,比如AV終結者,中毒後的典型表現是眾多病毒木馬混合感染,其中下載的ARP病毒會對局域網產生嚴重影響。
磁碟機病毒的典型破壞表現:
1.註冊全局HOOK,掃描含有常用安全軟件關鍵字的程序窗口,發送大量消息,致使安全軟件崩潰
2.破壞文件夾選項,使用戶不能查看隱藏文件
3.刪除註冊表中關於安全模式的值,防止啟動到安全模式
4.創建驅動,保護自身。該驅動可實現開機刪除自身,關機創建延遲重啟的項目實現自動加載。
5.修改註冊表,令組策略中的軟件限制策略不可用。
6.不停掃描並刪除安全軟件的註冊鍵值,防止安全軟件開機啟動。
7.在各磁盤創建autorun.inf和pagefile.pif,利用雙擊磁盤或插入移動設備時自動運行功能傳播。
8.將註冊表的整個 RUN 項及其子鍵全部刪除,阻止安全軟件自動加載
9.釋放多個病毒執行程序,完成更多任務
10.病毒通過重啟重命名方式加載,位於註冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目錄外的其它EXE文件(病毒感染行為不斷進化,從感染其它分區到感染系統分區),最特別的是病毒還會解包RAR文件,感染其中的EXE之後,再打包成RAR。
12.下載大量木馬到本地運行,用戶最終受損情況,決定於這些木馬的行為。
既然所有可執行文件(*.exe)都無法運行,那麼我們就來手動查殺磁碟機木馬,具體步驟如下:
1、用改名大法將system32和dllcache目錄下的cmd.exe臨時改名為cm.dll(為安全起見,筆者使用了WinRAR的資源管理功能),再重啟系統看看。
 |
| 用WinRAR的資源管理功能改名 |
2、重啟系統後,檢查system32和dllcache目錄。發現改名後的cm.dll都還在,但system32目錄下出現了一個怪怪的 cmd.exe(見下圖)。這個cmd.exe的logo不同於正常的cmd.exe,這個就是病毒現從I386目錄裡找出來的!
 |
3、不管這些,先看看病毒文件能否手工刪除(如果那個cmd.exe管用,那麼NetApi000.sys即可加載,病毒就會運行),結果所有病毒文件都可以被一一刪除了。
4、刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。
注:此測試電腦只有一個分區,處理到這裡,就完事了。但多分區系統(一般用戶都會有多個分區),非系統分區還會有病毒的,記得刪除其他幾個分區裡的病 毒,打開其他分區時點鼠標右鍵—>打開進入,而不是直接雙擊。最重要的,還是要用最新病毒庫的殺毒軟件全盤殺毒,切記!
轉載自 北方網
