Worm.Win32.DiskGen,磁碟機變種,計算機木馬病毒的一種。
基本介紹
lsass.exe,smss.exe病毒分析,病毒相關分析,清除方法,
lsass.exe,smss.exe病毒分析
Worm.Win32.Diskgen.gen(磁碟機變種)近日死灰復燃,給廣大網友造成很多不便。此惡意程式會以驅動的形式載入惡意檔案NetApi00.sys到系統記憶體,來保護惡意進程lsass.exe,smss.exe不被結束,相關惡意檔案不被刪除。
病毒相關分析
病毒標籤:
病毒名稱:Worm.Win32.Diskgen.gen
病毒行為:
1、釋放驅動檔案NetApi00.sys到系統各盤的根目錄。
註冊為服務NetApi00並載入到記憶體,然後刪除該服務。
//系統每次啟動時,都會通過這種方式載入NetApi00.sys。
//該驅動會劫持系統api, 確保惡意程式的進程不被結束,隱藏的系統檔案不被顯示。
2、釋放的其他檔案:
%System%\com\lsass.exe 94,208 位元組
%System%\com\smss.exe 20,713 位元組
%System%\com\netcfg.000 45,056 位元組
%System%\com\netcfg.dll 45,056 位元組
%System%\\dnsq.dll 32,256 位元組
//並將該檔案注入到進程explorer.exe
還會複製自身到“開始選單”中的“啟動”資料夾並隨機命名
在系統盤根目錄下生成037589.log的備份檔案 //與主程式為同一檔案
3、修改註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="%System%\\dnsq.dll"
4、程式運行後會執行檔案lsass.exe和smss.exe
//由於與系統進程同名,所以在任務管理器中不允許結束
//而用其他程式結束的話,惡意程式載入的驅動會進行過濾
lsass.exe進程會監控窗體,如果出現以下字元串就關閉窗體,
……(略)
手工
清除方法
1、刪除啟動項中載入的相關惡意程式。
2、保證“開始選單”中“啟動”資料夾中沒有惡意程式檔案。
3、用命令“attrib dnsq.dll -s -h”去除檔案dnsq.dll的附加屬性。
4、重命名檔案dnsq.dll後,立即關閉電源或強制啟動系統。
//因為惡意程式載入了驅動並刪除了啟動驅動的服務,所以通過這種方法使下次啟動不載入驅動
5、重新啟動後,用超級巡警刪除各盤的根目錄的autorun.inf和pagefile.pif
//注意不要雙擊打開任何磁碟,防止重新運行惡意程式。
7、刪除惡意程式生成的相關檔案
