工作原理
病毒運行後首先會在C糟根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢復SSDT,把防毒軟體掛的鉤子全部卸掉。然後在 System32路徑下的com資料夾中釋放病毒檔案smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然後該程式退出,運行剛剛釋放的lsass.exe。
lsass.exe運行後,會在com資料夾下重新釋放剛才所釋放的檔案,同時會在system32資料夾下釋放一個新的動態庫檔案dnsq.dll,然後生成兩個隨機名的log檔案該檔案是lsass.exe和dnsq.dll的副本,然後進行以下操作:
1. 從以下網址下載腳本http://www.****.****/*.htm、.....。
2. 生成名為”MCI Program Com Application”的視窗。
3. 程式會刪除註冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
4. 查找帶以下關鍵字的視窗,查找帶以下關鍵字的視窗,如果找到則向其發訊息將其退出:RsRavMon、McShield、PAVSRV…
5. 啟動regsvr32.exe進程,把動態庫netcfg.dll注到該進程中。
6. 遍歷磁碟,在所有磁碟中添加autorun.inf和pagefile.pif,使得用戶打開磁碟的同時運行病毒。
7. 通過calcs命令啟動病毒進程得到完全控制許可權,使得其他進程無法訪問該進程。
8. 感染執行檔,當找個執行檔時,把正常檔案放在自己最後一個節中,通過病毒自身所帶的種子值對正常檔案進行加密。
smss.exe用來實現進程保護,程式運行後會進行以下操作:
1.創建一個名為xgahrez的互斥體,防止進程中有多個實例運行。
2.然後創建一個名為MSICTFIME SMSS的視窗,該視窗會對三種訊息做出反應:
1.WM_QUERYENDSESSION:當收到該訊息時,程式會刪除註冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。
2.WM_TIMER:該程式會設定一個時鐘,每隔0.2秒查找“MCI Program Com Application”視窗,如果找不到則運行病毒程式。
3.WM_CAP_START:當收到該訊息時,向其傳送退出訊息。
3.把lsass.exe拷貝到C糟根目錄下命名為037589.log,同時把該檔案拷到啟動目錄下實現自啟動。
dnsq.dll通過掛接全局訊息鉤子,把自己注到所有進程中,該動態庫主要用來HOOK API和重寫註冊表。動態庫被載入後會進行以下操作:
1. 判斷自己所在進程是否是lsass.exe、smss.exe、alg.exe,如果是則退出。
2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle這幾個API使得防毒軟體無法查殺病毒進程。
3. 遍歷進程如果進程名為lsass.exe、smss.exe、alg.exe則直接退出,如果是其他進程則創建一個執行緒,該執行緒每隔2秒進行以下操作:
1.修改以下鍵值使得用戶無法看到隱藏的受保護的系統檔案
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
2.刪除以下註冊表鍵值使得用戶無法進入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
3.刪除以下註冊表項,使得鏡像劫持失效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
4.讀取以下註冊表鍵值,判斷當前系統是否允許移動設備自動運行,如果不允許則修改為允許
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下註冊表項使得手動修改以下鍵值無效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = radio
6.添加以下註冊表項使得開機時,系統會把該動態庫注到大部分進程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = %SYSTEM%\dnsq.dll.
7.通過calcs命令啟動病毒進程得到完全控制許可權,使得其他進程無法訪問該進程。
8.查找帶以下關鍵字的視窗,如果找到則向其發訊息將其退出:
SREng 介紹、360safe、木、antivir、…
netcfg.dll主要用來下載檔案,動態庫被載入後會從以下網址下載病毒程式
http://js.k0102.com/data.gif,查找視窗”MCI Program Com Application”如果該視窗不存在則運行下載的程式。
危害
(1)修改系統默認載入的DLL 列表項來實現DLL 注入。通過遠程進程注入,並根據以下關鍵字關閉防毒軟體和病毒診斷等工具。
(2)修改註冊表破壞資料夾選項的隱藏屬性修改,使隱藏的檔案無法被顯示。
(3)自動下載最新版本和其它的一些病毒木馬到本地運行。
(4)不斷刪除註冊表的關鍵鍵值來來破壞安全模式和防毒軟體和主動防禦的服務, 使很多主動防禦軟體和實時監控無法再被開啟。
(5)病毒並不主動添加啟動項,而是通過重啟重命名方式。這種方式自啟動極為隱蔽,現有的安全工具很難檢測出來。
(6)病毒會感染除SYSTEM32 目錄外其它目錄下的所有執行檔,並且會感染壓縮檔內的檔案
症狀
1、系統運行緩慢、頻繁出現當機、藍屏、報錯等現象;
2、進程中出現兩個lsass.exe和兩個smss.exe ,且病毒進程的用戶名是當前登入用戶名;(如果只有1個lsass.exe和1個smss.exe,且對套用戶名為system,則是系統正常檔案,請不用擔心)
3、防毒軟體被破壞,多種安全軟體無法打開,安全站點無法訪問;
4、系統時間被篡改,無法進入安全模式,隱藏檔案無法顯示;
5、病毒感染.exe檔案導致其圖示發生變化;
6、會對區域網路發起ARP攻擊,並篡改下載連結為病毒連結;
7、彈出釣魚網站
傳播渠道
1、隨身碟/移動硬碟/數碼存儲卡
2、區域網路ARP攻擊
3、感染檔案
4、惡意網站下載
5、其它木馬下載器下載
病毒特點
1、反攻防毒軟體能力
2、自我保護和隱藏能力
3、病毒變種和自我更新速度
4、病毒的破壞性
5、病毒的表現形式
解決方案
千足蟲病毒和AV終結者、機器狗的表現很類似,技術上講千足蟲的抗殺能力更強。從我們了解到的情況看,多種防毒軟體無法攔截千足蟲的最新變種,在中毒之後,安裝防毒軟體失敗的可能性很大。因此,目前的方案是優先使用磁碟機專殺工具。點擊下載
在某些沒有任何防禦措施的電腦上,可能磁碟機專殺工具一運行就會被刪除。據調查,這種情況是多種病毒混合入侵導致。在這種極端情況下,我們可以嘗試的防毒方案有:
1.嘗試啟動系統到安全模式或帶命令行的安全模式(很可能會失敗)
具體辦法:重啟前,從其它正常電腦COPY已經升級到最新的防毒軟體,簡單地把整個安裝目錄COPY過來。安全模式下運行kav32.exe,或者在命令行下運行kavdx。如果這個病毒不是很BT的話,有希望搞定。
2.WINPE急救光碟引導後防毒(Winpe不易得到,不是所有人都有,需要的可以搜尋一下到網上找。)
WINPE啟動後,運行kav32.exe或kavdx
3.掛從盤防毒(有多台電腦的情況下,比較容易使用)
必須注意,在掛從盤防毒前,正常的電腦務必使用金山清理專家的隨身碟免疫功能,將所有磁碟的自動運行功能關閉,避免使用雙擊的方式訪問帶毒硬碟,禁用自動運行能大大減少中毒的風險(在這裡咒罵微軟10000遍,這個自動運行就是為傳播病毒準備的,除此之外,屁用都么有)
4.你遇到了極端的情況,前三個條件都不具備,手工防毒又不會,那只有一招,把C糟格了重裝吧,裝完切記,不要用雙擊打開其它磁碟或插入可能有毒的隨身碟,先上網下載毒霸,升級到最新,使用清理專家的隨身碟免疫器,禁用所有磁碟的自動運行。