【51CTO.com 综合报道】
背景介绍
磁碟机病毒并不是一个新病毒,早在2007年2月的时候,就已经初现端倪。当时它仅仅作为一种蠕虫病毒,成为所有反病毒工作者的关注目标。而当时这种病毒的行为,也仅仅局限于,在系统目录%system%\system32\com\生成lsass.exe和smss.exe,感染用户电脑上的exe文件。病毒在此时的传播量和处理的技术难度都不大。
然而在病毒作者经过长达一年的辛勤工作——数据表明,病毒作者几乎每两天就会更新一次病毒——之后,并吸取了其他病毒的特点(例如臭名昭著的AV终结者,攻击破坏安全软件和检测工具),结合了目前病毒流行的传播手段,逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。
病毒特征
传播性
1)在网站上挂马,在用户访问一些不安全的网站时,就会被植入病毒。这也是早期磁碟机最主要的传播方式;
2)通过U盘等移动存储的Autorun传播,染毒的机器会在每个分区(包括可移动存储设备)根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
3)局域网内的ARP传播方式,磁碟机病毒会下载其他的ARP病毒,并利用ARP病毒传播的隐蔽性,在局域网内传播。值得注意的是:病毒之间相互利用,狼狈为奸已经成为现在流行病的一个主要趋势,利用其它病毒的特点弥补自身的不足。
隐蔽性
1)传播的隐蔽性:从上面的描述可以看出,病毒在传播过程中,所利用的技术手段都是用户,甚至是杀毒软件无法截获的。
2)启动的隐蔽性:病毒不会主动添加启动项(这是为了逃避系统诊断工具的检测,也是其针对性的体现),而是通过重启重命名方式把C:\下的XXXX.log文件(XXXX是一些不固定的数字),改名到“启动”文件夹。重启重命名优先于自启动,启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的,使得当前大多数杀毒软件无法有效避免病毒随机启动。
针对性
1)关闭安全软件,病毒设置全局钩子,根据关键字关闭杀毒软件和诊断工具
关键字举例:
|
360safe |
Escan |
瑞 |
金山 |
防 |
SREng |
|
升 |
木 |
KV |
诊 |
工具 |
ARP |
|
微点 |
Firewall |
扫描 |
Mcagent |
Metapad |
…… |
2)破坏文件的显示方式,病毒修改注册表,使得文件夹选项的隐藏属性被修改,使得隐藏文件无法显示,逃避被用户手动删除的可能
3)破坏安全模式,病毒会删除注册表中和安全模式相关的值,使得安全模式被破坏,无法进入;为了避免安全模式被其他工具修复,病毒还会反复改写注册表。
4)破坏杀毒软件的自保护,病毒会在C盘释放一个NetApi00.sys的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹。
5)破坏安全策略,病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。
6)自动运行,病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif,是以独占式打开的,无法直接删除。
7)阻止其他安全软件随机启动,病毒删除注册表整个RUN项和子键。
8)阻止使用映像劫持方法禁止病毒运行,病毒删除注册表整个Image File Execution Options项和子键。
9)病毒自保护,病毒释放以下文件:
%Systemroot%\system32\Com\smss.exe
%Systemroot%\system32\Com\netcfg.000
%Systemroot%\system32\Com\netcfg.dll
%Systemroot%\system32\Com\lsass.exe
随后smss.exe和lsass.exe会运行起来,由于和系统进程名相同(路径不同),任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后,会立即再次启动;如果启动被阻止,病毒就会立即重启系统。
10)对抗分析检测,病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后,再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。
危害性
1)病毒会自动下载自己的最新版本,和其他一些木马到本地运行
2)病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳。
3)盗取用户虚拟资产和其他有用信息
用户环境的表现
1)杀毒软件和安全工具无法运行
2)进入安全模式蓝屏
3)由于Exe文件被感染,重装系统无效
4)用户信息丢失,甚至有些程序无法使用
金山毒霸的应对措施
专杀工具
在彻底分析了磁碟机新变种的行为特征之后,毒霸引擎组启动应急流程,利用各种资源全面剿灭磁碟机病毒。在短短三天时间内,已经连续开发并测试发布了磁碟机专杀工具5.5、5.6、5.7三个版本(还将根据用户的反馈,继续跟进和完善)。并且针对于磁碟机具有感染性的特点,在专杀工具中首次集成了引擎和病毒库。已经可以很好的查杀并清除磁碟机病毒。
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · VPN技术 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · SQL Server 2008/2005.. · RAID——磁盘阵列基础 · 中间件应用技术专题 · 深入了解PGP加密技术 |
· MySQL数据库备份 · 病毒查杀专题 · VPN技术 · Solaris 10 配置管理 · SSL VPN详细知识 · Linux防火墙 · 打造安全服务器 · Sniffer安全技术从入门.. |
|||
|
||||
| · VPN技术 · SQL Server 2008/2005.. · 中间件应用技术专题 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · MySQL数据库备份 · RAID——磁盘阵列基础 |
· 身份认证技术 · 病毒查杀专题 · 清除流氓软件——51CTO.. · SSL VPN详细知识 · Sniffer安全技术从入门.. · VPN技术 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. |
|||
