概況
爆發概況
近日,有媒體報導,無極殺手病毒年終爆發,每天有超過一萬台電腦感染該病毒。擊敗防毒軟體概況
據報導,該病毒能夠關閉目前市場上幾乎所有主流的防毒軟體或安全軟體(包括免費軟體)(首次截獲該病毒的江民防毒軟體主防可截殺該病毒),而國外的幾款防毒軟體以及利用國外防毒引擎的免費防毒軟體,在這個病毒面前更是毫無抵抗之力,開啟所有監控後,還是可以被病毒輕鬆結束進程。病毒動作
病毒運行後,生成qmgr.dll病毒檔案,載入sfc_os.dll並查找其5號導出函式,使得系統的檔案保護對於其要修改的qmgr.dll失效,然後病毒從資源中讀取數據寫到qmgr.dll,修改該檔案時間,並啟動對應的服務。然後在系統目錄下把自身複製為lsasvc.dll並在臨時目錄釋放“TempDel.bat”以刪除自身。病毒檢查當前模組所在進程是否為360tray.exe,如果是則創建一個名為"360SpShadow0"的設備,通過傳送IO控制碼的方式控制繞過360tray.exe的檢測,完成後,退出程式。
查找當前系統中是否存在進程"360tray.exe",如果有,則
將%SystemRoot%\system32\qmgr.dll複製為%SystemRoot%\system32\1l1.dll,將%SystemRoot%\system32\1l1.dll注入到目標進程空間,從而第一步的內容得到執行,完成後,刪除%SystemRoot%\system32\1l1.dll,同時清空hosts檔案。
完成以上動作後,病毒會創建多個執行緒執行不同操作:
將qmgr.dll對應的BITS服務啟動類型設定為自動。
刪除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式
然後在臨時資料夾內創建一個名為LiTdi.sys的驅動,創建名為LiTdi服務,並啟動服務。查找相關防毒軟體或安全軟體進程,並向驅動傳送IO控制碼的方式結束相關進程。
病毒還會調用IE訪問某網頁做感染統計。從表項中依次選擇下載十幾種惡意程式,其中多數為盜號木馬。
病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx檔案,對於擴展名為.rar的檔案,病毒還會解包感染以上擴展名檔案後再壓縮回去。對於htm,html,asp,aspx的網頁檔案,病毒會在其尾部加上惡意代碼,使得這些網頁檔案成為病毒的二次傳播源,用戶一旦點擊這些被感染檔案,則會被病毒感染。
病毒還會通過自動播放功能傳播。查找可移動存儲設備並在其根目錄下生成autorun.inf,建立一個名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的資料夾,把%SystemRoot%\system32\dllcache\lsasvc.dll複製到該目錄下為Ghost.exe。
通過自帶的弱密鑰列表對網上鄰居進行猜解,被猜解成功的管理員賬戶密碼的計算機將受到感染;如果連線成功,則將C:\WINDOWS\system32\dllcache\lsasvc.dll拷貝到對方機器的C:\cm.exe,同時創建計畫任務以激活該病毒。
針對該病毒,建議網民開啟防毒軟體的主動防禦和實時監控,以防禦病毒,免遭“無極殺手”病毒侵害,確保電腦數據安全。
影響
暴露問題
無極殺手病毒的爆發,無疑給目前熱衷於炒作的防毒廠商當頭棒喝,在無極殺手面前,什麼雲安全、永久免費都毫無意思可言。事實上,目前一些比較激進的防毒廠商,號稱截獲數千萬病毒,事實給用戶遭成最大損害的,也只是極其少數的惡性病毒,在病毒造成的巨大損害面前,任何免費的噱頭都無任何意思,畢竟對於許多電腦中存在許多重要數據的用戶來講,他們寧願花費一百元左右的價格買一款保護能力強大的防毒軟體,而不願因為這區區一百元,讓自己電腦中重要的數據得不到任何安全保障。“無極殺手”同時暴露了另一個重要的問題,那就是國外防毒軟體的自我保護能力普遍薄弱。畢竟在國外,病毒比較溫和,主要以蠕蟲病毒為主,而象“無極殺手”這樣厲害的驅動級病毒,在國外根本就沒有出現過,而在國內已經十分普遍,所以國外的防毒軟體缺少對付驅動級病毒的經驗,國內廠商則輕車熟路,所以在“無極殺手”面前的表現相對較好。值得注意的是,國內一款號稱永遠免費的防毒軟體,核心引擎用的正是國外的產品,所以在無極殺手面前同樣束手無策。