新一代毒王誕生 警惕磁碟機危害政企

申請免費試用、咨詢電話：400-8352-114

背景介紹

磁碟機病毒并不是一個新病毒，早在2007年2月的時候，就已經(jīng)初現(xiàn)端倪。當(dāng)時它僅僅作為一種蠕蟲病毒，成為所有反病毒工作者的關(guān)注目標。而當(dāng)時這種病毒的行為，也僅僅局限于，在系統(tǒng)目錄%system%system32com生成lsass.exe和smss.exe，感染用戶電腦上的 exe文件。病毒在此時的傳播量和處理的技術(shù)難度都不大。

然而在病毒作者經(jīng)過長達一年的辛勤工作——數(shù)據(jù)表明，病毒作者幾乎每兩天就會更新一次病毒——之后，并吸取了其他病毒的特點（例如臭名昭著的AV終結(jié)者，攻擊破壞安全軟件和檢測工具），結(jié)合了目前病毒流行的傳播手段，逐漸發(fā)展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。

病毒特征

傳播性

1）在網(wǎng)站上掛馬，在用戶訪問一些不安全的網(wǎng)站時，就會被植入病毒。這也是早期磁碟機最主要的傳播方式；

2）通過U盤等移動存儲的Autorun傳播，染毒的機器會在每個分區(qū)（包括可移動存儲設(shè)備）根目錄下釋放autorun.inf和pagefile.pif兩個文件。達到自動運行的目的。

3）局域網(wǎng)內(nèi)的ARP傳播方式，磁碟機病毒會下載其他的ARP病毒，并利用ARP病毒傳播的隱蔽性，在局域網(wǎng)內(nèi)傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經(jīng)成為現(xiàn)在流行病的一個主要趨勢，利用其它病毒的特點彌補自身的不足。

隱蔽性

1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過程中，所利用的技術(shù)手段都是用戶，甚至是殺毒軟件無法截獲的。

2）啟動的隱蔽性：病毒不會主動添加啟動項（這是為了逃避系統(tǒng)診斷工具的檢測，也是其針對性的體現(xiàn)），而是通過重啟重命名方式把C:下的XXXX.log文件（XXXX是一些不固定的數(shù)字），改名到“啟動”文件夾。重啟重命名優(yōu)先于自啟動，啟動完成之后又將自己刪除或改名回去。已達到逃避安全工具檢測的目的，使得當(dāng)前大多數(shù)殺毒軟件無法有效避免病毒隨機啟動。

針對性

1）關(guān)閉安全軟件，病毒設(shè)置全局鉤子，根據(jù)關(guān)鍵字關(guān)閉殺毒軟件和診斷工具

另外，病毒還能枚舉當(dāng)前進程名，根據(jù)關(guān)鍵字Rav、avp、kv、kissvc、scan…來結(jié)束進程。

2）破壞文件的顯示方式，病毒修改注冊表，使得文件夾選項的隱藏屬性被修改，使得隱藏文件無法顯示，逃避被用戶手動刪除的可能

3）破壞安全模式，病毒會刪除注冊表中和安全模式相關(guān)的值，使得安全模式被破壞，無法進入；為了避免安全模式被其他工具修復(fù)，病毒還會反復(fù)改寫注冊表。

4）破壞殺毒軟件的自保護，病毒會在C盤釋放一個NetApi00.sys的驅(qū)動文件，并通過服務(wù)加載，使得很多殺毒軟件的監(jiān)控和主動防御失效，目的達到后，病毒會將驅(qū)動刪除，消除痕跡。

5）破壞安全策略，病毒刪除注冊表HKLMSoftWaePliciesMicrosoftWindowsSafer鍵和子鍵。并會反復(fù)改寫。

6）自動運行，病毒在每個硬盤分區(qū)根目錄下生成的autorun.inf和pagefile.pif，是以獨占式打開的，無法直接刪除。

7）阻止其他安全軟件隨機啟動，病毒刪除注冊表整個RUN項和子鍵。

8）阻止使用映像劫持方法禁止病毒運行，病毒刪除注冊表整個Image File Execution Options項和子鍵。

9）病毒自保護，病毒釋放以下文件：

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

隨后smss.exe和lsass.exe會運行起來，由于和系統(tǒng)進程名相同（路徑不同），任務(wù)管理器無法將它們直接結(jié)束。病毒在檢測到這兩個進程被關(guān)閉后，會立即再次啟動；如果啟動被阻止，病毒就會立即重啟系統(tǒng)。

10）對抗分析檢測，病毒不會立即對系統(tǒng)進行破壞。而會在系統(tǒng)中潛伏一段時間之后，再開始活動。這樣的行為使得無法通過Installwatch等系統(tǒng)快照工具跟蹤到病毒的行為。

危害性

1）病毒會自動下載自己的最新版本，和其他一些木馬到本地運行

2）病毒會感染用戶機器上的exe文件，包括壓縮包內(nèi)的exe文件，并會通過UPX加殼。

3）盜取用戶虛擬資產(chǎn)和其他有用信息

用戶環(huán)境的表現(xiàn)

1）殺毒軟件和安全工具無法運行

2）進入安全模式藍屏

3）由于Exe文件被感染，重裝系統(tǒng)無效

4）用戶信息丟失，甚至有些程序無法使用

應(yīng)對措施

專殺工具

在徹底分析了磁碟機新變種的行為特征之后，毒霸引擎組啟動應(yīng)急流程，利用各種資源全面剿滅磁碟機病毒。在短短三天時間內(nèi)，已經(jīng)連續(xù)開發(fā)并測試發(fā)布了磁碟機專殺工具5.5、5.6、5.7三個版本（還將根據(jù)用戶的反饋，繼續(xù)跟進和完善）。并且針對于磁碟機具有感染性的特點，在專殺工具中首次集成了引擎和病毒庫。已經(jīng)可以很好的查殺并清除磁碟機病毒。（51CTO）