avengert 发表于 2008-4-2 09:41

磁碟机变种 Virus.Win32.Xorer.eu分析

Virus.Win32.Xorer.eu

出处:安天病毒分析组
一、病毒标签:
病毒名称: Virus.Win32.Xorer.eu
中文名称: 磁碟机
病毒类型: 病毒
文件 MD5: CADDB7FC69A95F96A29865C454B181C9
公开范围: 完全公开
危害等级: 4
文件长度: 94,208 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
       
二、病毒描述:
       
在机器狗刚刚销声匿迹后,磁碟机以其强大的反查杀能力迅速的成为了现在病毒界关注的焦点。磁碟机以驱动级模块来反查杀,清除杀毒软件的SSDT功能,使杀毒软件监控等功能失效,仅仅从这一点上,可以得出病毒主动对抗反病毒软件已不再停留在删除注册表启动项,关闭进程,进行映像劫持等的表面技术;而是发展到了能够真正与反病毒软件抗衡的水平。因此,针对磁碟机大多数的反病毒软件均已瘫痪。磁碟机的传播手段:感染文件,挂马,移动存储介质;这三种传播方式是当今最为有效的传播方式,特别是网站挂马传播已成为病毒传播的主流。还利用了当今病毒最为成熟的技术:DLL注入(进行文件下载,病毒信息保护等),进程互锁,注册表破坏,加壳技术等。通过以上的分析,磁碟机以其传播之广,技术手段之多,反查杀能力之强已成为现在对用户电脑信息的最大威胁之一。
       
三、行为分析:
       
本地行为:

1、 文件运行后会衍生以下文件
%HomeDrive%\NetApi000.sys                                         4096字节
%HomeDrive%\037589.log                                        94208字节
%DriveLetter%\AUTORUN.INF                                         172字节
%DriveLetter%\pagefile.pif                                         94208字节
%System32%\16768235.log                                        94208字节
%System32%\dnsq.dll                                        32256字节
%System32%\Com\lsass.exe                                         94208字节
%System32%\Com\netcfg.000                                         16384字节
%System32%\Com\netcfg.dll                                         16384字节
%System32%\Com\smss.exe                                        40960字节

2、注册表操作
(1)、修改注册表

新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见

(2)、修改注册表

新建键值:字串:" Type "="radio"
原键值:字串:" Type "="checkbox"
描述:使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效

(3)、修改注册表

新建键值:字串:" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值:字串:" AppInit_DLLs "= ""
描述:添加病毒启动项
               
(4)、 删除注册表Run启动目录

描述:删除Run项内所有启动项和Run项本身,使写入在Run项下的安全软件无法随机启动

(5)、删除安全模式注册表项

注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

(6)、 删除安全模式注册表项

注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

(7)、删除安全模式注册表项

注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

(8)、删除安全模式注册表项

注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

3、在各个盘符的根目录下释放AUTORUN.INF与其执行文件pagefile.pif,当打开盘符时便会执行病毒体。

4、dnsq.dll插入到EXPLORER.EXE进程和其它相关进程中。Dnsq.dll会对病毒的进程,注册表和文件进行定时检测,当检测到相应位置的信息被删除时,便重新写入病毒信息。

5、开启双进程%System32%\Com\lsass.exe与System32%\Com\smss.exe,进行进程保护。

6、在系统目录释放备份文件037589.log,16768235.log,其中16768235为随机数字;当病毒文件被删除或破坏时,将由备份文件重新生成。

7、在系统根目录下生成驱动文件NetApi000.sys以恢复SSDT,将杀毒软件修改SSDT的部分卸载。该文件当系统启动时加载并删除自身,使杀毒软件无法检测到;当系统关闭时,重新写入系统根目录下。

8、创建互斥体,防止系统中有多个病毒进程在运行。

9、检测带有下列字符的窗体,如检测到则使该窗体失效:
rav
avp
kv
scan
360
firewall
kv
monitor


bitdefender
avg
arp
mcafee
金山
升级
antivir
费尔

微点


扫描
……
10、使用系统的cacls命令和API函数LookupPrivilegeValue(提升至SeDebugPrivilege权限)进行权限提升。
11、lsass.exe进行键盘记录。

12、拷贝自身到“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下,重命名为 “ ~.exe.(随机8位数字).exe ”;达到电脑重启时运行的目的。

13、对exe;rar、zip;js等类型文件进行感染。

网络行为:  
  
1、后台开启IE下载:

    w.c***.com/r.htm
    www.ka****.com/sp/cd/newsso/QQimages/style.css
    js.k****.com/install.exe
    ……

    下载文件运行后的衍生文件:
    %System32%\AntiTool.exe
    %System32%\drivers\alg.exe
    %System32%\drivers\npf.sys
    %System32%\Packet.dll
    %System32%\pthreadVC.dll
    %System32%\wpcap.dll

2、弹出网页:    

    http://www.ka****.com/sp/cd/newsso
    /qq.html?username=hh88&zhaosp=qq
    http://www.163sinasohutom21cnvnet***********.com.cn
    /submit1.php?aid=10931

    说明:通过假QQ靓号与通过答题获取QQ币的钓鱼页面来骗取用户手机充值。

3、lsass.exe:连接网络jj.g****.net/html/qb2.html (125.65.165.***)
  下载病毒信息。    

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32 

四、 清除方案:1、使用安天防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
3、下载安天AVLPK终级专杀工具进行查杀。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
   使用ATool挂起病毒进程:%System32%\Com\lsass.exe与%System32%\Com\smss.exe
   在进程中同时强行卸载%System32%\dnsq.dll
       
(2) dnsq.dll卸载完成后强行删除病毒文件
%HomeDrive%\037589.log                                        94208字节
%DriveLetter%\AUTORUN.INF                                         172字节
%DriveLetter%\pagefile.pif                                         94208字节
%System32%\16768235.log                                        94208字节
%System32%\dnsq.dll                                        32256字节
%System32%\Com\lsass.exe                                         94208字节
%System32%\Com\netcfg.000                                         16384字节
%System32%\Com\netcfg.dll                                         16384字节
%System32%\Com\smss.exe                                        40960字节
删除相关下载运行文件:
%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll


(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见


新建键值:字串:" Type "="radio"
原键值:字串:" Type "="checkbox"
描述:使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效


新建键值:字串:" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值:字串:" AppInit_DLLs "= ""
描述:添加病毒启动项
               

描述:删除Run项内所有启动项和Run项本身,使写入在Run项下的安全软件无法随机启动

注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入


注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入

(4)删除“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下的 ~.exe.(随机8位数字).exe 病毒文件。

(5) 同时结速两个挂起的病毒进程

(6)保存其它必要的文档信息等。

(7)不用正常关机,因为在关机时病毒会把自身重新写入磁盘和注册表中,采用直接拔下电源方式,然后重启。
页: [1]
查看完整版本: 磁碟机变种 Virus.Win32.Xorer.eu分析