近期在网络上流传着一个病毒,变种速度极快感染力超强,据说能破主动防御、能破坏操作系统的安全模式、屏蔽杀软等功能。一直无缘相见,今天有幸在同事电脑上抓获甚是欣慰,下面是在高手的指点下解剖给大家看看这个病毒的高明之处。
一、感染情况和症状
病毒被激活后电脑没有明显的中毒症状,为了加快病毒的发作重新启动计算机。启动速度正常,没有明显的停滞,首次进入桌面后操作缓慢;Windows任务管理器失效,能正常启动但是不能操作;系统资源占用率始终保持在100%;资源管理器和IE均能够打开但是执行效率很低,要等很久;金山毒霸杀毒软件不能正常启动;通过工具软件检测发现开启数个PING.EXE的进程;并间断性的加载IE广告;其他软件能正常使用但是效率都很低;第二次开机计算机运行速度恢复正常,开启杀毒软件失败;无法进入安全模式。这些是中毒后计算机呈现出的表面症状,如果你的计算机出现如上症状基本可以判定为“磁碟机”的受害者。
二、追踪病毒
1、文件删、写
为了植入的可靠性,病毒会在受攻击的计算机中大量产生自己的副本文件,在可用磁盘根目录下生成PAGEFILE.EXE和AUTORUN.INF两个文件,这两个文件的用途经历过U盘病毒的用户都知道,主要是通过“自动播放”感染的方式传播病毒,如果关闭了自动播放,病毒会调用注册表启用,经测试病毒还会对这2个文件进行定时扫描,一旦删除短时间内会重新生成;再继续往下看,病毒将排除系统盘尽可能的感染标准可执行文件,一些RAR的自解压文件可以幸免而被感染的可执行文件有个典型的特征就是图标变成256色图标。在感染可执行文件的同时病毒会在系统盘中丢下了至少8个项目的副本文件C盘根目录下2个,SYSTEM32COM目录下4个,SYSTEM32目录下2个。如图一
被感染的可执行文件和病毒产生的文件
2、注册表删改
通过系统检测日志软件的记录,发现病毒对注册表进行了大量的修改,主要体现在对安全模式的破坏,也是我们无法进入安全模式的根本原因,具体到如下键值SYSTEMCurrentControlSetControlSafeBootNetwork(标准的安全模式)SYSTEMControlSet001ControlSafeBootNetwork(网络支持的安全模式)被删除掉了,当然还有其他网络安全模式这里不一一列举;杀毒软件无法正常启动也是相同的问题,杀毒软件的服务启动项目被病毒删除了SYSTEMCurrentControlSetServices下的类如:KAVBASE(金山毒霸的服务项);为了防止病毒体被重新定位,病毒还将SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options项目彻底删除掉了。
3、病毒的自我修复
下面进入病毒自我保护部分的分析,该病毒能破坏主流杀毒软件和安全工具的正常使用,能破坏系统的安全模式,这些都是被动防御的方式,来看看病毒的主动修复方面。首先病毒在运行过程中会检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中,避免病毒的多次运行;释放驱动C:NetApi000.sys(DeviceNetApi000)用于恢复SSDT Hook,接着再自我删除达到HIPS和主动防御安全软件失效的作用;病毒还会在system32com下启动smss.exe和lsass.exe,实现守护进程,当其中一个进程被干掉的时候另一个进程将重新启动被干掉的进程,形成一个死循环永远无法关闭;病毒还会在C:Windowssystem32dnsq.dll安装全局钩子,注入所有运行中的进程,一旦DNSQ.DLL进程被关闭操作系统也会自动重启;最高级的还属这条,该病毒还使用了byshell的技术,当系统正常关机时自动调用SeShutdownPrivilege函数,dnsq.dll会将C盘下的***.log拷贝至:C:Documents and SettingsAll Users「开始」菜单程序启动,系统重新启动时病毒就会自动重新运行,很多专杀工具失效的主要原因就在这里。
三、清理病毒
病毒是相当的聪明,开发者似乎在挑战安全工程师,针对杀软的更新也非常迅速,尽管病毒屏蔽了大量的杀毒软件、安全工具和专杀程序,然尔我们依然可以从一些小工具入手干掉他。
1、阻止病毒再运行
大家都知道WIN系统的程序执行主要靠注册表中的文件关联类,当这个类被删除后,几乎所有程序都无法在WIN系统上运行,利用这一特性阻止病毒的再次运行。首先运行QQKAV这个针对QQ尾巴的病毒的小工具,运行手动杀毒,查找到相关进程,用户都能看到我们前面所提到的进程,并启动开机杀毒功能,通过注册表管理器查找exeflie项将其备份后删除,确定开机杀毒后工具会强行重启计算机,如果执行失败可以通过RESET键执行重启,经过开机前的可以文件清理,此时病毒基本不具有威胁性了。如图二
删除EXEFLIE项并启用开机杀毒
2、彻底清理病毒
将EXEFLIE恢复到注册表中,重建文件关联,使计算机能正常运行软件,依然使用QQKAV工具清理病毒遗留下来的尸体文件。到这里病毒基本上算被消灭了,剩下的是做一些善后工作,利用SERng软件把操作系统进行一次修复,目的是能正常使用安全模式,修复完成后将杀毒软件升级到最新病毒库,在安全模式杀毒以确保人工清理的彻底。如图三
修复受损的安全模式
编者按:到这里最新的磁碟机变种的分析和清理就告一段落了,在整个分析过程中用到了很多安全分析工具,因为涉及到经验判断方面的问题,用文字难以给读者清楚的表述,所以这里没有进行分析的讲解。