基本介紹
- 中文名:千足蟲病毒
工作原理,危害,症狀,傳播渠道,病毒特點,解決方案,
工作原理
病毒運行後首先會在C糟根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢復SSDT,把防毒軟體掛的鉤子全部卸掉。然後在 System32路徑下的com資料夾中釋放病毒檔案smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然後該程式退出,運行剛剛釋放的lsass.exe。
lsass.exe運行後,會在com資料夾下重新釋放剛才所釋放的檔案,同時會在system32資料夾下釋放一個新的動態庫檔案dnsq.dll,然後生成兩個隨機名的log檔案該檔案是lsass.exe和dnsq.dll的副本,然後進行以下操作:
1. 從以下網址下載腳本http://www.****.****/*.htm、.....。
2. 生成名為”MCI Program Com Application”的視窗。
3. 程式會刪除註冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
4. 查找帶以下關鍵字的視窗,查找帶以下關鍵字的視窗,如果找到則向其發訊息將其退出:RsRavMon、McShield、PAVSRV…
5. 啟動regsvr32.exe進程,把動態庫netcfg.dll注到該進程中。
6. 遍歷磁碟,在所有磁碟中添加autorun.inf和pagefile.pif,使得用戶打開磁碟的同時運行病毒。
7. 通過calcs命令啟動病毒進程得到完全控制許可權,使得其他進程無法訪問該進程。
8. 感染執行檔,當找個執行檔時,把正常檔案放在自己最後一個節中,通過病毒自身所帶的種子值對正常檔案進行加密。
smss.exe用來實現進程保護,程式運行後會進行以下操作:
1.創建一個名為xgahrez的互斥體,防止進程中有多個實例運行。
2.然後創建一個名為MSICTFIME SMSS的視窗,該視窗會對三種訊息做出反應:
1.WM_QUERYENDSESSION:當收到該訊息時,程式會刪除註冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
2.WM_TIMER:該程式會設定一個時鐘,每隔0.2秒查找“MCI Program Com Application”視窗,如果找不到則運行病毒程式。
3.WM_CAP_START:當收到該訊息時,向其傳送退出訊息。
3.把lsass.exe拷貝到C糟根目錄下命名為037589.log,同時把該檔案拷到啟動目錄下實現自啟動。
dnsq.dll通過掛接全局訊息鉤子,把自己注到所有進程中,該動態庫主要用來HOOK API和重寫註冊表。動態庫被載入後會進行以下操作:
1. 判斷自己所在進程是否是lsass.exe、smss.exe、alg.exe,如果是則退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle這幾個API使得防毒軟體無法查殺病毒進程。
3. 遍歷進程如果進程名為lsass.exe、smss.exe、alg.exe則直接退出,如果是其他進程則創建一個執行緒,該執行緒每隔2秒進行以下操作:
1.修改以下鍵值使得用戶無法看到隱藏的受保護的系統檔案
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
2.刪除以下註冊表鍵值使得用戶無法進入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
4.讀取以下註冊表鍵值,判斷當前系統是否允許移動設備自動運行,如果不允許則修改為允許
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下註冊表項使得手動修改以下鍵值無效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = radio
6.添加以下註冊表項使得開機時,系統會把該動態庫注到大部分進程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = %SYSTEM%\dnsq.dll.
7.通過calcs命令啟動病毒進程得到完全控制許可權,使得其他進程無法訪問該進程。
8.查找帶以下關鍵字的視窗,如果找到則向其發訊息將其退出:
SREng 介紹、360safe、木、antivir、…
netcfg.dll主要用來下載檔案,動態庫被載入後會從以下網址下載病毒程式
http://js.k0102.com/data.gif,查找視窗”MCI Program Com Application”如果該視窗不存在則運行下載的程式。
危害
(1)修改系統默認載入的DLL 列表項來實現DLL 注入。通過遠程進程注入,並根據以下關鍵字關閉防毒軟體和病毒診斷等工具。
(2)修改註冊表破壞資料夾選項的隱藏屬性修改,使隱藏的檔案無法被顯示。
(3)自動下載最新版本和其它的一些病毒木馬到本地運行。
(5)病毒並不主動添加啟動項,而是通過重啟重命名方式。這種方式自啟動極為隱蔽,現有的安全工具很難檢測出來。
(6)病毒會感染除SYSTEM32 目錄外其它目錄下的所有執行檔,並且會感染壓縮檔內的檔案
症狀
1、系統運行緩慢、頻繁出現當機、藍屏、報錯等現象;
2、進程中出現兩個lsass.exe和兩個smss.exe ,且病毒進程的用戶名是當前登入用戶名;(如果只有1個lsass.exe和1個smss.exe,且對套用戶名為system,則是系統正常檔案,請不用擔心)
3、防毒軟體被破壞,多種安全軟體無法打開,安全站點無法訪問;
4、系統時間被篡改,無法進入安全模式,隱藏檔案無法顯示;
5、病毒感染.exe檔案導致其圖示發生變化;
6、會對區域網路發起ARP攻擊,並篡改下載連結為病毒連結;
7、彈出釣魚網站
傳播渠道
1、隨身碟/移動硬碟/數碼存儲卡
2、區域網路ARP攻擊
3、感染檔案
4、惡意網站下載
5、其它木馬下載器下載
病毒特點
1、反攻防毒軟體能力
2、自我保護和隱藏能力
3、病毒變種和自我更新速度
4、病毒的破壞性
5、病毒的表現形式
解決方案
千足蟲病毒和AV終結者、機器狗的表現很類似,技術上講千足蟲的抗殺能力更強。從我們了解到的情況看,多種防毒軟體無法攔截千足蟲的最新變種,在中毒之後,安裝防毒軟體失敗的可能性很大。因此,目前的方案是優先使用磁碟機專殺工具。點擊下載
1.嘗試啟動系統到安全模式或帶命令行的安全模式(很可能會失敗)
具體辦法:重啟前,從其它正常電腦COPY已經升級到最新的防毒軟體,簡單地把整個安裝目錄COPY過來。安全模式下運行kav32.exe,或者在命令行下運行kavdx。如果這個病毒不是很BT的話,有希望搞定。
2.WINPE急救光碟引導後防毒(Winpe不易得到,不是所有人都有,需要的可以搜尋一下到網上找。)
WINPE啟動後,運行kav32.exe或kavdx
3.掛從盤防毒(有多台電腦的情況下,比較容易使用)
