背景介紹
磁碟機病毒並不是一個新病毒,早在2007年2月的時候,就已經初現端倪。當時它僅僅作為一種蠕蟲病毒,成為所有反病毒工作者的關注目標。而當時這種病毒的行為,也僅僅局限於,在系統目錄%system%system32com生成lsass.exe和smss.exe,感染用戶電腦上的
exe檔案。病毒在此時的傳播量和處理的技術難度都不大。
然而在病毒作者經過長達一年的辛勤工作——數據表明,病毒作者幾乎每兩天就會更新一次病毒——之後,並吸取了其他病毒的特點(例如臭名昭著的AV終結者,攻擊破壞安全軟體和檢測工具),結合了目前病毒流行的傳播手段,逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。
簡介
磁碟機病毒主要通過隨身碟和區域網路ARP攻擊傳播,如果當你無法訪問各個安全軟體站點,或者從安全站點的官網上下載的安裝程式有問題的話,極有可能是已經中了磁碟機病毒“磁碟機”(又名“千足蟲”),病毒感染系統
執行檔,能夠利用多種手段終止防毒軟體運行,並可導致被感染計算機系統出現藍屏、
當機等現象,嚴重危害被感染計算機的系統和數據安全。與其它關閉防毒軟體的病毒不同的是,該病毒利用了多達六種強制關閉防毒軟體和干擾用戶查殺的反攻手段,許多自身保護能力不夠強壯的防毒軟體在病毒面前紛紛被折。
病毒在每個磁碟下生成pagefile.exe和Autorun.inf檔案,並每隔幾秒檢測檔案是否存在,修改
註冊表鍵值,破壞“顯示系統檔案”功能。
每隔一段時間會檢測自己破壞過的顯示檔案、
安全模式、Ifeo、病毒檔案等項,如被修改則重新破壞。病毒執行後,會刪除病毒主體檔案。
病毒會監控lsass.exe、smss.exe、dnsq.dll檔案,如果假設不存在的話則重新生成。當拷貝失敗後,病毒會調用rd /s /q命令刪除原來的檔案,再重新寫入。病毒會連線惡意網址下載大量木馬病毒。
該病毒運行後會在系統目錄中COM目錄(默認為c:\windows\system32\com)下生成名為lsass.exe及smss.exe檔案。該病毒會感染除windows及program files目錄下所有的EXE格式
執行檔,會造成用戶計算機運算速度緩慢,甚至造成系統藍屏、
當機。由於該病毒編寫存在一些問題,可能會造成用戶安裝的軟體被損壞,無法使用。
特徵
磁碟機病毒是一個
下載者病毒,會關閉一些安全工具和防毒軟體並阻止其運行運行,並會不斷檢測視窗來關閉一些防毒軟體及安全輔助工具,破壞安全模式,刪除一些防毒軟體和實時監控的服務,遠程注入到其它進程來啟動被結束進程的病毒。
傳播性
1)在網站上
掛馬,在用戶訪問一些不安全的網站時,就會被植入病毒。這也是早期磁碟機最主要的傳播方式
2)通過隨身碟等移動存儲的Autorun傳播,染毒的機器會在每個分區(包括
可移動存儲設備)根目錄下釋放autorun.inf和pagefile.pif兩個檔案。達到自動運行的目的。
3)區域網路內的ARP傳播方式,磁碟機病毒會下載其他的ARP病毒,並利用ARP病毒傳播的隱蔽性,在區域網路內傳播。值得注意的是:病毒之間相互利用,狼狽為奸已經成為現在流行病的一個主要趨勢,利用其它病毒的特點彌補自身的不足。
隱蔽性
1)傳播的隱蔽性:從上面的描述可以看出,病毒在傳播過程中,所利用的技術手段都是用戶,甚至是防毒軟體無法截獲的。
2)啟動的隱蔽性:病毒不會主動添加啟動項(這是為了逃避系統診斷工具的檢測,也是其針對性的體現),而是通過重啟重命名方式把C:下的XXXX.log檔案(XXXX是一些不固定的數字),改名到“啟動”資料夾。重啟重命名優先於自啟動,啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的,使得當前大多數防毒軟體無法有效避免病毒隨機啟動。
針對性
1)關閉安全軟體,病毒設定
全局鉤子,根據關鍵字關閉防毒軟體和診斷工具
另外,病毒還能枚舉當前進程名,根據關鍵字Rav、avp、kv、
kissvc、scan…來結束進程。
2)破壞檔案的顯示方式,病毒修改註冊表,使得
資料夾選項的隱藏屬性被修改,使得隱藏檔案無法顯示,逃避被用戶手動刪除的可能
3)破壞安全模式,病毒會刪除註冊表中和安全模式相關的值,使得安全模式被破壞,無法進入;為了避免安全模式被其他工具修復,病毒還會反覆改寫註冊表。
4)破壞防毒軟體的自保護,病毒會在C糟釋放一個NetApi00.sys的驅動檔案,並通過服務載入,使得很多防毒軟體的監控和
主動防禦失效,目的達到後,病毒會將驅動刪除,消除痕跡。
5)破壞
安全策略,病毒刪除註冊表HKLMSoftWaePliciesMicrosoftWindowsSafer鍵和子鍵。並會反覆改寫。
6)自動運行,病毒在每個
硬碟分區根目錄下生成的autorun.inf和pagefile.pif,是以獨占式打開的,無法直接刪除。
7)阻止其他安全軟體隨機啟動,病毒刪除註冊表整個RUN項和子鍵。
8)阻止使用
映像劫持方法禁止病毒運行,病毒刪除註冊表整個Image File Execution Options項和子鍵。
9)病毒自保護,病毒釋放以下檔案:
%Systemroot%system32Comsmss.exe
%Systemroot%system32Comnetcfg.000
%Systemroot%system32Comnetcfg.dll
%Systemroot%system32Comlsass.exe
隨後smss.exe和lsass.exe會運行起來,由於和系統進程名相同(路徑不同),任務管理器無法將它們直接結束。病毒在檢測到這兩個進程被關閉後,會立即再次啟動;如果啟動被阻止,病毒就會立即重啟系統。
10)對抗分析檢測,病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後,再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。
危害
(1)修改系統默認載入的DLL 列表項來實現DLL 注入。通過遠程進程注入,並根據以下關鍵字關閉防毒軟體和病毒診斷等工具。
(2)修改註冊表破壞
資料夾選項的隱藏屬性修改,使隱藏的檔案無法被顯示。
(3)自動下載最新版本和其它的一些病毒木馬到本地運行。
(4)不斷刪除註冊表的關鍵鍵值來來破壞安全模式和防毒軟體和
主動防禦的服務, 使很多主動防禦軟體和實時監控無法再被開啟。
(5)病毒並不主動添加啟動項,而是通過重啟重命名方式。這種方式自啟動極為隱蔽,現有的安全工具很難檢測出來。
(6)病毒會感染除SYSTEM32 目錄外其它目錄下的所有
執行檔,並且會感染壓縮檔內的檔案。
主要症狀
1、系統運行緩慢、頻繁出現
當機、藍屏、報錯等現象;
2、進程中出現兩個lsass.exe和兩個smss.exe ,且病毒進程的用戶名是當前登入用戶名;(如果只有1個lsass.exe和1個smss.exe,且對套用戶名為system,則是系統正常檔案,請不用擔心)
3、防毒軟體被破壞,多種安全軟體無法打開,安全站點無法訪問;
4、系統時間被篡改,無法進入安全模式,隱藏檔案無法顯示;
5、病毒感染.exe檔案導致其圖示發生變化;
6、會對區域網路發起ARP攻擊,並篡改下載連結為病毒連結;
7、彈出釣魚網站
傳播渠道
1、隨身碟/移動硬碟/數碼存儲卡
2、區域網路ARP攻擊
3、感染檔案
4、惡意網站下載
5、其它木馬下載器下載
解決方案
磁碟機病毒和AV終結者、
機器狗的表現很類似,技術上講磁碟機的抗殺能力更強。多種防毒軟體無法攔截磁碟機的最新變種,在中毒之後,安裝防毒軟體失敗的可能性很大。在某些沒有任何防禦措施的電腦上,可能磁碟機
專殺工具一運行就會被刪除。據調查,這種情況是多種病毒混合入侵導致。在這種極端情況下,我們可以嘗試的防毒方案有:
1.嘗試啟動系統到安全模式或帶命令行的安全模式。
具體辦法:重啟前,從其它正常電腦COPY已經升級到最新的防毒軟體,簡單地把整個
安裝目錄COPY過來。安全模式下運行kav32.exe,或者在命令行下運行kavdx。如果這個病毒不是很BT的話,有希望搞定。
2.WINPE急救光碟引導後防毒。
WINPE啟動後,運行kav32.exe或kavdx
3.掛從盤防毒。
必須注意,在掛從盤防毒前,正常的電腦務必使用
金山清理專家的隨身碟免疫功能,將所有磁碟的自動運行功能關閉,避免使用雙擊的方式訪問帶毒硬碟,禁用自動運行能大大減少中毒的風險
4.重灌系統。
裝完切記,不要用雙擊打開其它磁碟或插入可能有毒的隨身碟,先上網下載
金山毒霸,升級到最新,使用清理專家的隨身碟免疫器,禁用所有磁碟的自動運行。
防禦措施
一:及時更新防毒軟體,以攔截最新變種。
不能升級的防毒軟體和不裝是一樣的,在豬肉漲軟體跌的情況下,支持正版軟體還是值得的。和“磁碟機”類似的幾個病毒都會找防毒軟體下手,注意觀察防毒軟體的工作狀態,可以充當“磁碟機”之類病毒破壞系統的晴雨表。
windows update、清理專家都是打補丁好手。播放器、
下載工具,最好用官方的最新版,至少老漏洞都修補過。
網路防火牆和ARP防火牆對“磁碟機”在區域網路的泛濫可以起到遏制作用。
四:保持足夠警惕,小心接收和打開不明程式,不要被檔案的圖示所蒙蔽。
控制臺中“
資料夾選項”的修改資料夾選項,顯示所有檔案的擴展名,發現EXE/PIF/COM/SCR等類型一定要倍加小心。甭管對方如何解釋這個東東是什麼,自己先看清楚,確認是文檔才能認為是相對安全的。
如果你的資源管理器工具選單下資料夾選項不見了,或者打開後,修改選項失效,通常也是中毒的標誌。
五:常備一套工具箱。
清理專家、procexp、autoruns、
冰刃、Sreng,AV終結者專殺,磁碟機專殺。需要時,這些小工具可令系統起死回生。
六:強烈建議禁用自動運行功能,這個雞肋功能對病毒傳播製造了太多機會,自動運行提供的方便性幾乎沒有價值。
禁止自動運行的方法,超簡單,在清理專家的百寶箱,打開隨身碟免疫器,全部選中所有驅動器之後,點禁用。
七:及時反應,減輕損失。
一旦感染該病毒,應該及時停止登錄線上遊戲,請求遊戲運營商先將帳號凍結,避免遭受損失。就好比你的銀行卡丟掉,你的第一反應是給銀行打電話,請求凍結帳號。
判斷感染
1. 某些常用安全軟體打不開,打開後立即被關閉,或者打開後有被“分屍”的現象,這是由於病毒不斷向這些軟體傳送垃圾訊息導致他們不能回響正常的用戶指令導致。
2.安全模式被破壞。用戶試圖進入安全模式時,顯示的是藍屏,這是由於病毒刪除了與安全模式相關的註冊表鍵導致。
3.無法正常顯示隱藏檔案,且工具-
資料夾選項下的“隱藏受保護的作業系統檔案”一項被破壞。
4.打開任務管理器,會發現兩個lsass.exe和smss.exe進程
5.使用Winrar瀏覽windows32Com目錄下可以發現如下病毒檔案
%systemroot%system32comlsass.exe
%systemroot%system32comsmss.exe
%systemroot%system32comnetcfg.dll
%systemroot%system32comnetcfg.000
6、各盤根目錄下有pagefile.pif和autorun.inf檔案
7、系統目錄下存在dnsq.dll檔案
評論
江民反病毒工程師經提取病毒樣本分析後認為,多數企業都是因為遭受了同一病毒“千足蟲”(又名磁碟機)病毒侵害。統計顯示,目前“磁碟機”病毒及其變種已感染超過5萬台電腦,被感染的電腦分布在政府、企事業等。
反毒專家何公道認為,“磁碟機”病毒是近幾年以來發現的病毒技術含量最高、破壞性最強的病毒,其破壞能力、自我保護和反防毒軟體能力均10倍於“
熊貓燒香”,所以建議引起反病毒同行以及各大企事業單位網管員的高度重視。
總結:
其實,磁碟機現在並沒有什麼可怕的。假如使用受限制用戶運行的話,磁碟機對您的破壞相當的有限。
病毒對比
一、傳播途徑
“
熊貓燒香”病毒有多種傳播方式。通過隨身碟和感染網頁檔案
掛馬傳播,通過區域網路傳播,通過攻破一些大型網站,採用在正常網頁上掛馬的方式傳播。 “磁碟機”病毒利用“ARP病毒”在區域網路中進行自我傳播,病毒通過訪問一個惡意網址,下載並自動運行二十多個病毒,通過其中的ARP病毒,“磁碟機”可以瞬間傳遍整個網路內電腦。“磁碟機”也可以通過隨身碟和
網頁掛馬傳播,但尚沒有發現病毒作者通過攻破大型網站的方式掛馬傳播的案例,這也是“磁碟機”在傳播範圍上尚不及“熊貓燒香”的原因,但如果一旦病毒作者通過這種方式大面積傳播,後果將不堪構想。
二、反攻防毒軟體能力
“
熊貓燒香”和“磁碟機”病毒都有反攻防毒軟體的能力,但不同的是,“熊貓燒香”只是通過傳送關閉訊息的方式關閉防毒軟體,而“磁碟機”則通過生成一個核心許可權的驅動程式來破壞防毒軟體的監控,使防毒軟體的監控功能失效,然後再關閉防毒軟體並阻止防毒軟體升級,並禁止主流的防毒軟體網頁。這一點上,“磁碟機”遠遠超過了“熊貓燒香”病毒,導致一些
主動防禦功能不強的防毒軟體紛紛被關閉,“磁碟機”能夠關閉除江民防毒軟體KV2008最新版本之外的大部分主流防毒軟體,這也是為什麼眾多企業在遇到“磁碟機”病毒時,整個區域網路內幾乎無一台電腦倖免病毒之災的原因。
三、自我保護和隱藏能力
“
熊貓燒香”採用的是進程保護,病毒首先生成一個
系統服務程式來保護其進程不被關閉,只要清除了病毒生成的系統服務,就可以輕鬆關閉其進程。而“磁碟機”在自我保護和隱藏技術上幾乎無所不用其極,通過十餘種技術來達到自我保護的目的。例如:利用進程守護技術,發現病毒檔案被刪除或被關閉,會馬上生成重新運行。病毒程式以系統級許可權運行,DLL組件會插入到系統中幾乎所有的進程中載入運行(包括系統級許可權的進程)。利用了關機回寫技術,在關閉計算機時把病毒主程式體保存到[啟動]資料夾中,實現開機自啟動。系統啟動後再將[啟動]資料夾中病毒主體刪除掉,實現既可隱蔽啟動,又不被用戶發現的目的。使用反HIPS技術繞過部分
主動防禦程式“HIPS”的監控。利用
光纖接入的伺服器高速升級病毒體,迅速更新避免防毒軟體查殺。
四、病毒變種和自我更新速度
“
熊貓燒香”由於技術上較“磁碟機”簡單,加上
原始碼可能外泄,因此病毒變種較多,而”磁碟機”由於病毒程式複雜,加上目前可以確定其原始碼尚未泄露到網際網路上,因此一周只出現兩到三個變種,最多的時候達到了一天出現兩個變種的速度,雖然相較於“熊貓燒香”在變種數量上稍遜一籌,但“磁碟機”的線上升級更新速度之快令人咋舌。
江民反病毒專家懷疑“磁碟機”病毒使用了光纖接入的升級伺服器,能夠實現在下載量很大的情況下,病毒體也可以瞬間自動完成更新。
五、病毒的破壞性
在破壞性上,“
熊貓燒香”和“磁碟機”都能夠感染電腦內的
執行檔和網頁檔案,導致系統運行緩慢,不同的是,“磁碟機”在感染檔案過程中對感染檔案進行了加密存放,使得清除病毒難度更大。兩者都可以連結到惡意網頁下載木馬病毒,但在下載的木馬病毒數量上,“磁碟機”遠超過“熊貓燒香”,“磁碟機”能夠下載二十餘種木馬病毒,“熊貓燒香”只能下載一個或幾個木馬。而“磁碟機”藉助ARP病毒給企業區域網路用戶帶來了巨大的災難性事故,由於“磁碟機”可以藉助ARP方式瞬間感染所有區域網路內電腦,因此許多單位的工作因此中斷,造成了不可估量的損失。
六、病毒的表現形式
在表現形式上,“
熊貓燒香”的表現十分明顯,感染
執行檔生成“熊貓燒香”的圖案,十分易於判斷。而“磁碟機”的感染則十分低調隱蔽。他千方百計隱藏自身的行蹤,普通用戶從表面看很難發現有中毒的痕跡,很多用戶中毒後尚不自知,除了感覺系統似乎變慢外無其它明顯異常症狀。而“磁碟機”病毒也正是在這種刻意低調的偽裝下,伺機竊取用戶的隱私敏感信息,包括遊戲帳號和網上銀行、網上證券交易等帳號密碼,這比“熊貓燒香”明目張胆的打劫更可怕。