磁碟机蠕虫病毒分析

-

磁碟机蠕虫病毒分析

磁碟机病毒疫情的发生

磁碟机病毒最早出现在2007年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。

病毒分析

“磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机外，其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种，该变种文件名为“setup.exe”，系一个RAR自解压格式的安装包，运行后就会在用户系统中安装“磁碟机”变种。

病毒会破坏注册表，使用户无法进入“安全模式”，以及无法查看“隐藏的系统文件”，并实时检测保护这个被修改过的病毒选项，恢复后立即重写。破坏注册表，使用户注册表启动项失效，导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表，实现开启自动播放的功能。防止病毒体被重定向，删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。

病毒通过搜索注册表，直接强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新。病毒程序以系统级权限运行，部分进程使用了进程保护技术。

病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。

同时，为了避开杀毒软件主动防御功能，病毒采用了反“Hips”的监控技术，为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。

病毒有自动升级功能，并有自己的光纤接入的升级服务器，即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器，下载列表配置文件在骇客的远程服务器上，骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序，其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通，如果连通则利用系统“IE 浏览器”进程在后台与骇客服务器进程通信，这样可以躲避部分防火墙的监控。

典型磁碟机破坏的表现

1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃

2.破坏文件夹选项，使用户不能查看隐藏文件

3.删除注册表中关于安全模式的值，防止启动到安全模式

4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。

5.修改注册表，令组策略中的软件限制策略不可用。

6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。

7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。

8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载

9.释放多个病毒执行程序，完成更多任务

10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore 下的Pending RenameOperations字串。

11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。

12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

病毒传播途径

1.U盘/移动硬盘/数码存储卡传播

2.各种木马下载器之间相互传播

3.通过恶意网站下载

4.通过感染文件传播

5.通过内网ARP攻击传播

解决方案

磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看，多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。因此，目前的方案是优先使用磁碟机专杀工具。点击下载在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：

1.尝试启动系统到安全模式或带命令行的安全模式（很可能会失败）

具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx。如果这个病毒不是很BT的话，有希望搞定。

2.WINPE急救光盘引导后杀毒（Winpe不易得到，不是所有人都有，需要的可以搜索一下到网上找。）

WINPE启动后，运行kav32.exe或kavdx

3.挂从盘杀毒（有多台电脑的情况下，比较容易使用）

必须注意，在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险（在这里咒骂微软10000遍，这个自动运行就是为传播病毒准备的，除此之外，屁用都么有）。

2