新一代毒王誕生 警惕磁碟機(jī)危害政企

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

背景介紹

磁碟機(jī)病毒并不是一個(gè)新病毒，早在2007年2月的時(shí)候，就已經(jīng)初現(xiàn)端倪。當(dāng)時(shí)它僅僅作為一種蠕蟲病毒，成為所有反病毒工作者的關(guān)注目標(biāo)。而當(dāng)時(shí)這種病毒的行為，也僅僅局限于，在系統(tǒng)目錄%system%system32com生成lsass.exe和smss.exe，感染用戶電腦上的 exe文件。病毒在此時(shí)的傳播量和處理的技術(shù)難度都不大。

然而在病毒作者經(jīng)過長達(dá)一年的辛勤工作——數(shù)據(jù)表明，病毒作者幾乎每兩天就會(huì)更新一次病毒——之后，并吸取了其他病毒的特點(diǎn)（例如臭名昭著的AV終結(jié)者，攻擊破壞安全軟件和檢測工具），結(jié)合了目前病毒流行的傳播手段，逐漸發(fā)展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。

病毒特征

傳播性

1）在網(wǎng)站上掛馬，在用戶訪問一些不安全的網(wǎng)站時(shí)，就會(huì)被植入病毒。這也是早期磁碟機(jī)最主要的傳播方式；

2）通過U盤等移動(dòng)存儲(chǔ)的Autorun傳播，染毒的機(jī)器會(huì)在每個(gè)分區(qū)（包括可移動(dòng)存儲(chǔ)設(shè)備）根目錄下釋放autorun.inf和pagefile.pif兩個(gè)文件。達(dá)到自動(dòng)運(yùn)行的目的。

3）局域網(wǎng)內(nèi)的ARP傳播方式，磁碟機(jī)病毒會(huì)下載其他的ARP病毒，并利用ARP病毒傳播的隱蔽性，在局域網(wǎng)內(nèi)傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經(jīng)成為現(xiàn)在流行病的一個(gè)主要趨勢，利用其它病毒的特點(diǎn)彌補(bǔ)自身的不足。

隱蔽性

1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過程中，所利用的技術(shù)手段都是用戶，甚至是殺毒軟件無法截獲的。

2）啟動(dòng)的隱蔽性：病毒不會(huì)主動(dòng)添加啟動(dòng)項(xiàng)（這是為了逃避系統(tǒng)診斷工具的檢測，也是其針對(duì)性的體現(xiàn)），而是通過重啟重命名方式把C:下的XXXX.log文件（XXXX是一些不固定的數(shù)字），改名到“啟動(dòng)”文件夾。重啟重命名優(yōu)先于自啟動(dòng)，啟動(dòng)完成之后又將自己刪除或改名回去。已達(dá)到逃避安全工具檢測的目的，使得當(dāng)前大多數(shù)殺毒軟件無法有效避免病毒隨機(jī)啟動(dòng)。

針對(duì)性

1）關(guān)閉安全軟件，病毒設(shè)置全局鉤子，根據(jù)關(guān)鍵字關(guān)閉殺毒軟件和診斷工具

另外，病毒還能枚舉當(dāng)前進(jìn)程名，根據(jù)關(guān)鍵字Rav、avp、kv、kissvc、scan…來結(jié)束進(jìn)程。

2）破壞文件的顯示方式，病毒修改注冊(cè)表，使得文件夾選項(xiàng)的隱藏屬性被修改，使得隱藏文件無法顯示，逃避被用戶手動(dòng)刪除的可能

3）破壞安全模式，病毒會(huì)刪除注冊(cè)表中和安全模式相關(guān)的值，使得安全模式被破壞，無法進(jìn)入；為了避免安全模式被其他工具修復(fù)，病毒還會(huì)反復(fù)改寫注冊(cè)表。

4）破壞殺毒軟件的自保護(hù)，病毒會(huì)在C盤釋放一個(gè)NetApi00.sys的驅(qū)動(dòng)文件，并通過服務(wù)加載，使得很多殺毒軟件的監(jiān)控和主動(dòng)防御失效，目的達(dá)到后，病毒會(huì)將驅(qū)動(dòng)刪除，消除痕跡。

5）破壞安全策略，病毒刪除注冊(cè)表HKLMSoftWaePliciesMicrosoftWindowsSafer鍵和子鍵。并會(huì)反復(fù)改寫。

6）自動(dòng)運(yùn)行，病毒在每個(gè)硬盤分區(qū)根目錄下生成的autorun.inf和pagefile.pif，是以獨(dú)占式打開的，無法直接刪除。

7）阻止其他安全軟件隨機(jī)啟動(dòng)，病毒刪除注冊(cè)表整個(gè)RUN項(xiàng)和子鍵。

8）阻止使用映像劫持方法禁止病毒運(yùn)行，病毒刪除注冊(cè)表整個(gè)Image File Execution Options項(xiàng)和子鍵。

9）病毒自保護(hù)，病毒釋放以下文件：

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

隨后smss.exe和lsass.exe會(huì)運(yùn)行起來，由于和系統(tǒng)進(jìn)程名相同（路徑不同），任務(wù)管理器無法將它們直接結(jié)束。病毒在檢測到這兩個(gè)進(jìn)程被關(guān)閉后，會(huì)立即再次啟動(dòng)；如果啟動(dòng)被阻止，病毒就會(huì)立即重啟系統(tǒng)。

10）對(duì)抗分析檢測，病毒不會(huì)立即對(duì)系統(tǒng)進(jìn)行破壞。而會(huì)在系統(tǒng)中潛伏一段時(shí)間之后，再開始活動(dòng)。這樣的行為使得無法通過Installwatch等系統(tǒng)快照工具跟蹤到病毒的行為。

危害性

1）病毒會(huì)自動(dòng)下載自己的最新版本，和其他一些木馬到本地運(yùn)行

2）病毒會(huì)感染用戶機(jī)器上的exe文件，包括壓縮包內(nèi)的exe文件，并會(huì)通過UPX加殼。

3）盜取用戶虛擬資產(chǎn)和其他有用信息

用戶環(huán)境的表現(xiàn)

1）殺毒軟件和安全工具無法運(yùn)行

2）進(jìn)入安全模式藍(lán)屏

3）由于Exe文件被感染，重裝系統(tǒng)無效

4）用戶信息丟失，甚至有些程序無法使用

應(yīng)對(duì)措施

專殺工具

在徹底分析了磁碟機(jī)新變種的行為特征之后，毒霸引擎組啟動(dòng)應(yīng)急流程，利用各種資源全面剿滅磁碟機(jī)病毒。在短短三天時(shí)間內(nèi)，已經(jīng)連續(xù)開發(fā)并測試發(fā)布了磁碟機(jī)專殺工具5.5、5.6、5.7三個(gè)版本（還將根據(jù)用戶的反饋，繼續(xù)跟進(jìn)和完善）。并且針對(duì)于磁碟機(jī)具有感染性的特點(diǎn)，在專殺工具中首次集成了引擎和病毒庫。已經(jīng)可以很好的查殺并清除磁碟機(jī)病毒。（51CTO）