“千足虫病毒”又名“磁碟机病毒”这是一个MFC写的感染型病毒。
工作原理
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在 System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1. 从以下网址下载脚本http://www.****.****/*.htm、.....。
2. 生成名为”MCI Program Com Application”的窗口。
3. 程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4. 查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5. 启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6. 遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7. 通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8. 感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
smss.exe用来实现进程保护,程序运行后会进行以下操作:
1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。
2.然后创建一个名为MSICTFIME SMSS的窗口,该窗口会对三种消息做出反应:
1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到则运行病毒程序。
3.WM_CAP_START:当收到该消息时,向其发送退出消息。
3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。
dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作:
1. 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
3. 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
2.删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
3.删除以下注册表项,使得镜像劫持失效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = radio
6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = %SYSTEM%\dnsq.dll.
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.查找带以下关键字的窗口,如果找到则向其发消息将其退出:
SREng 介绍、360safe、木、antivir、…
netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序
http://js.k0102.com/data.gif,查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。
危害
(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具。
(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。
(3)自动下载最新版本和其它的一些病毒木马到本地运行。
(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。
(5)病毒并不主动添加启动项,而是通过重启重命名方式。这种方式自启动极为隐蔽,现有的安全工具很难检测出来。
(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件
症状
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名;(如果只有1个lsass.exe和1个smss.exe,且对应用户名为system,则是系统正常文件,请不用担心)
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、病毒感染.exe文件导致其图标发生变化;
6、会对局域网发起ARP攻击,并篡改下载链接为病毒链接;
7、弹出钓鱼网站
传播渠道
1、U盘/移动硬盘/数码存储卡
2、局域网ARP攻击
3、感染文件
4、恶意网站下载
5、其它木马下载器下载
病毒特点
1、反攻杀毒软件能力
2、自我保护和隐藏能力
3、病毒变种和自我更新速度
4、病毒的破坏性
5、病毒的表现形式
解决方案
千足虫病毒和AV终结者、机器狗的表现很类似,技术上讲千足虫的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截千足虫的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。点击下载
在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:
1.尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)
具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行kav32.exe,或者在命令行下运行kavdx。如果这个病毒不是很BT的话,有希望搞定。
2.WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)
WINPE启动后,运行kav32.exe或kavdx
3.挂从盘杀毒(有多台电脑的情况下,比较容易使用)
必须注意,在挂从盘杀毒前,正常的电脑务必使用金山清理专家的U盘免疫功能,将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险(在这里咒骂微软10000遍,这个自动运行就是为传播病毒准备的,除此之外,屁用都么有)
4.你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先上网下载毒霸,升级到最新,使用清理专家的U盘免疫器,禁用所有磁盘的自动运行。
投稿