磁碟机最新变种分析

主防、Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染

进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等


哈哈。

测试为反汇编和一些实机运行跟踪。

因为壳的原因,可能分析的不准确。 :)

1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。

如存在,则退出,防止多个病毒体被执行。

2、创建文件:

C:/037589.log 93696 字节
C:/lsass. exe.1771547. exe 93696 字节

C:/WINDOWS/system32/Com/lsass.exe 93696 字节
C:/WINDOWS/system32/Com/smss.exe 40960 字节
C:/WINDOWS/system32/Com/netcfg.000 16384 字节
C:/WINDOWS/system32/Com/netcfg.dll 16384 字节

C:/WINDOWS/system32/1878253.log 93696 字节(随机)
C:/WINDOWS/system32/dnsq.dll 32256 字节

3、删除组策略限制的注册表项:

HKEY_LOCAL_MACHINE/SOFTWARE/Policies/ Microsoft/ Windows/Safer

4、删除:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/OptionalComponents/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/

5、破坏安全模式,删除:

SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}

6、防止病毒体被重定向,删除:

SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

(禁止写入)

7、释放驱动C:/NetApi000.sys(/Device/NetApi000)恢复SSDT Hook。

最后删除自身。导致HIps和主动防御失效。

8、修改注册表,开启自动播放:

NoDriveTypeAutoRun DWORD: 145

9、删除服务项(如果有):

SYSTEM/CurrentControlSet/Services/KSysCall
SYSTEM/CurrentControlSet/Services/EQService
SYSTEM/CurrentControlSet/Services/HookSys
SYSTEM/CurrentControlSet/Services/McShield
SYSTEM/CurrentControlSet/Services/tmmbd
SYSTEM/CurrentControlSet/Services/PAVSRV
SYSTEM/CurrentControlSet/Services/SymEvent
SYSTEM/CurrentControlSet/Services/ekrn
SYSTEM/CurrentControlSet/Services/KAVBase
SYSTEM/CurrentControlSet/Services/klif
SYSTEM/CurrentControlSet/Services/AntiVirService
SYSTEM/CurrentControlSet/Services/MPSVCService

10、调用cacls.exe,设置/system32/com 和病毒文件的权限为Everyone:F。

11、/system32/com下启动smss.exe和lsass.exe,使用进程守护。

当一方被结束时,另一个则将其重新启动。

12、C:/windows/system32/dnsq.dll安装全局钩子,注入所有运行中的进程。

13、发送垃圾消息到如下窗口,导致程序无法正常响应,处于假死状态:

avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web


SREng 介绍
升级
微点



kv

狙剑
金山
瑞星
..........

14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。

15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。

16、查找网页格式文件,加入一段框架:

http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70

解密得: http://js.k0102.com/01.asp

该地址会检测referer,返回的来源地址如果有效,则执行:hxxp://js.k0102.com/a11.htm

感谢刺猬大大的指点。

17、ping.exe -f -n 1 。如果网路通畅,调用IE访问:

hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html

每隔一段时间执行一次。垃圾广告啊。

18、在可用磁盘生成:pagefile.exe和Autorun.inf,并每隔几秒检测一次。

19、修改注册表:

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden

把REG_SZ, "checkbox"值填充垃圾数据,破坏“显示系统文件”功能。

20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。

如被修改则重新破坏。

21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。

支持Rar压缩包内可执行程序的感染 - -!

22、“高科技”:

使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时

这时候dnsq.dll会将C盘下的某某.log拷贝至:

C:/Documents and Settings/All Users/「开始」菜单/程序/启动/

格式差不多是:~.exe.某某.exe

最后计算机重启后,等病毒完全释放,立刻就删除这个:~.exe.某某.exe

哈哈,真是天衣无缝啊。

其实这种垃圾技术,只要冷启动就可以对付了。

23、尝试删除dnsq.dll的时候,它会立刻重启计算机。由第22点,关机前写入病毒。

造成一个死循环。

24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去。

因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删除成功

25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。

那么所谓的免疫文件夹就失效了,其中包括歧义文件夹。

26、连接 http://**.k0***.com/go.asp 计算感染人数并跳转 http://**.k0***.com/goto.htm 下载木马

过几天无聊了再去测试.. - -


另外附上安铁偌的磁碟机专杀:

http://www.kingzoo.com/tools/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/Auk_diskGenKiller.exe


个人防护建议:

1、打齐系统补丁。

2、安装杀毒软件和防火墙,并开启自动升级。

3、不浏览yellow网站,下载软件时尽量到大网站或官方。  
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前言 过去二十年,我一直在磁盘工业中打转。包括一九八五至一九九二年与 陈希孟先生两次同事,先在高智一年,又要海门(Seagate Technology)七年, 去年底返台,又见到希孟,他在一科技,带了一批年青的小伙子,在极其 因难的环境中,日夜努力,要为中国的磁盘机工业,立椿下地。看看他们 的人手,再看看他们的成果,好是佩服。参观之后,他拿出了这本书说: “你看,我们在空间的时候,写了本书"。我好感动,“写这种参考书, 费时,费力,发不了财,也出不了名"。他说,“我知道,只是觉得应 该有这样一本书,没人写,所以我们就写了"。好是爽快。 返美之后,花了两个月才念完这本,看了之后,有几个感想,第一,此书 深入浅出,中英文一起来,对我是受用,好几相以前想不通的东西,现 在清楚多了。第二,他举的例子,都是实实在在的真实例子,他多少年身 体力学的东西,都平平白白的撬了出来。第三,书的重点从设计、生产、 品质控制、市场价格,都一一交待清楚。第四,任何一种设计,有个缺 点,折衷优劣都分析得 恰到好处,大半时间,还给一个实用的数字(Rule of Thumb)以为参考。第五,硬盘机是一门日新又新的工业,过去十年,台 湾、大陆,都见过人家的生产线,一两年这后就都落伍停工了。此书一而 再,再而三的强调,此行业是逆水行舟的行业,不进则退。因此,书中提 许多目前及将来的新发展如“磁阻式磁头,(MR Head),局部响应大相似 (PRML Read Channel),都定自选性调整(Read / Write Adaptive ) 都是未来数年热 门的科技。 有了这本书,台湾硬盘机工业的发展就有一个起发点,中英文名词对 照也有了个准则。Seagate 正在大陆无锡建厂,若我去那里,这本书会跟我 去,那么它就是台湾与大陆磁盘科技交流的开始。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值