磁碟机变种 Virus.Win32.Xorer.eu分析

Virus.Win32.Xorer.eu

出处：安天病毒分析组

一、病毒标签：
病毒名称： Virus.Win32.Xorer.eu
中文名称： 磁碟机
病毒类型： 病毒
文件 MD5： CADDB7FC69A95F96A29865C454B181C9
公开范围： 完全公开
危害等级： 4
文件长度： 94,208 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.22
       
二、病毒描述：
       
在机器狗刚刚销声匿迹后，磁碟机以其强大的反查杀能力迅速的成为了现在病毒界关注的焦点。磁碟机以驱动级模块来反查杀，清除杀毒软件的SSDT功能，使杀毒软件监控等功能失效，仅仅从这一点上，可以得出病毒主动对抗反病毒软件已不再停留在删除注册表启动项，关闭进程，进行映像劫持等的表面技术；而是发展到了能够真正与反病毒软件抗衡的水平。因此，针对磁碟机大多数的反病毒软件均已瘫痪。磁碟机的传播手段：感染文件，挂马，移动存储介质；这三种传播方式是当今最为有效的传播方式，特别是网站挂马传播已成为病毒传播的主流。还利用了当今病毒最为成熟的技术：DLL注入（进行文件下载，病毒信息保护等），进程互锁，注册表破坏，加壳技术等。通过以上的分析，磁碟机以其传播之广，技术手段之多，反查杀能力之强已成为现在对用户电脑信息的最大威胁之一。
       
三、行为分析：
       
本地行为:

1、 文件运行后会衍生以下文件
%HomeDrive%\NetApi000.sys                                         4096字节
%HomeDrive%\037589.log                                        94208字节
%DriveLetter%\AUTORUN.INF                                         172字节
%DriveLetter%\pagefile.pif                                         94208字节
%System32%\16768235.log                                        94208字节
%System32%\dnsq.dll                                        32256字节
%System32%\Com\lsass.exe                                         94208字节
%System32%\Com\netcfg.000                                         16384字节
%System32%\Com\netcfg.dll                                         16384字节
%System32%\Com\smss.exe                                        40960字节

2、注册表操作
(1)、修改注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述：使隐藏文件不可见

(2)、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值：字串：" Type "="radio"
原键值：字串：" Type "="checkbox"
描述：使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效

(3)、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
新建键值：字串：" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值：字串：" AppInit_DLLs "= ""
描述：添加病毒启动项
               
(4)、 删除注册表Run启动目录
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
描述：删除Run项内所有启动项和Run项本身，使写入在Run项下的安全软件无法随机启动

(5)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

(6)、 删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

(7)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串："DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

(8)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

3、在各个盘符的根目录下释放AUTORUN.INF与其执行文件pagefile.pif，当打开盘符时便会执行病毒体。

4、dnsq.dll插入到EXPLORER.EXE进程和其它相关进程中。Dnsq.dll会对病毒的进程，注册表和文件进行定时检测，当检测到相应位置的信息被删除时，便重新写入病毒信息。

5、开启双进程%System32%\Com\lsass.exe与System32%\Com\smss.exe，进行进程保护。

6、在系统目录释放备份文件037589.log，16768235.log，其中16768235为随机数字；当病毒文件被删除或破坏时，将由备份文件重新生成。

7、在系统根目录下生成驱动文件NetApi000.sys以恢复SSDT，将杀毒软件修改SSDT的部分卸载。该文件当系统启动时加载并删除自身，使杀毒软件无法检测到；当系统关闭时，重新写入系统根目录下。

8、创建互斥体，防止系统中有多个病毒进程在运行。

9、检测带有下列字符的窗体，如检测到则使该窗体失效：
rav
avp
kv
scan
360
firewall
kv
monitor
诊
具
bitdefender
avg
arp
mcafee
金山
升级
antivir
费尔
木
微点
防
墙
扫描
……
10、使用系统的cacls命令和API函数LookupPrivilegeValue（提升至SeDebugPrivilege权限）进行权限提升。
11、lsass.exe进行键盘记录。

12、拷贝自身到“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下，重命名为 “ ~.exe.(随机8位数字).exe ”；达到电脑重启时运行的目的。

13、对exe；rar、zip；js等类型文件进行感染。

网络行为:　　
　　
1、后台开启IE下载:

　　　　w.c***.com/r.htm
　　　　www.ka****.com/sp/cd/newsso/QQimages/style.css
　　　　js.k****.com/install.exe
　　　　……

　　　　下载文件运行后的衍生文件：
　　　　%System32%\AntiTool.exe
　　　　%System32%\drivers\alg.exe
　　　　%System32%\drivers\npf.sys
　　　　%System32%\Packet.dll
　　　　%System32%\pthreadVC.dll
　　　　%System32%\wpcap.dll

2、弹出网页：　　　　

　　　　http://www.ka****.com/sp/cd/newsso
　　　　/qq.html?username=hh88&zhaosp=qq
　　　　http://www.163sinasohutom21cnvnet***********.com.cn
　　　　/submit1.php?aid=10931

　　　　说明：通过假QQ靓号与通过答题获取QQ币的钓鱼页面来骗取用户手机充值。

3、lsass.exe:连接网络jj.g****.net/html/qb2.html (125.65.165.***)
　 下载病毒信息。　　　　

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　

四、 清除方案：1、使用安天防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
3、下载安天AVLPK终级专杀工具进行查杀。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
     使用ATool挂起病毒进程：%System32%\Com\lsass.exe与%System32%\Com\smss.exe
　　 在进程中同时强行卸载%System32%\dnsq.dll
       
(2) dnsq.dll卸载完成后强行删除病毒文件
%HomeDrive%\037589.log                                        94208字节
%DriveLetter%\AUTORUN.INF                                         172字节
%DriveLetter%\pagefile.pif                                         94208字节
%System32%\16768235.log                                        94208字节
%System32%\dnsq.dll                                        32256字节
%System32%\Com\lsass.exe                                         94208字节
%System32%\Com\netcfg.000                                         16384字节
%System32%\Com\netcfg.dll                                         16384字节
%System32%\Com\smss.exe                                        40960字节
删除相关下载运行文件：
%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll


(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述：使隐藏文件不可见

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值：字串：" Type "="radio"
原键值：字串：" Type "="checkbox"
描述：使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
新建键值：字串：" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值：字串：" AppInit_DLLs "= ""
描述：添加病毒启动项
               
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
描述：删除Run项内所有启动项和Run项本身，使写入在Run项下的安全软件无法随机启动
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串："DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值： "@"
类型： REG_SZ
字符串： "DiskDrive"
描述：删除注册表中安全模式相关项，使重起后无法从安全模式进入

（4）删除“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下的 ~.exe.(随机8位数字).exe 病毒文件。

（5） 同时结速两个挂起的病毒进程

（6）保存其它必要的文档信息等。

（7）不用正常关机，因为在关机时病毒会把自身重新写入磁盘和注册表中，采用直接拔下电源方式，然后重启。