Virus.Win32.Xorer.eu
安天病毒分析组
一、病毒标签:
病毒名称: Virus.Win32.Xorer.eu
中文名称: 磁碟机
病毒类型: 病毒
文件 MD5: CADDB7FC69A95F96A29865C454B181C9
公开范围: 完全公开
危害等级: 4
文件长度: 94,208 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
二、病毒描述:
在机器狗刚刚销声匿迹后,磁碟机以其强大的反查杀能力迅速的成为了现在病毒界关注的焦点。磁碟机以驱动级模块来反查杀,清除杀毒软件的SSDT功能,使杀毒软件监控等功能失效,仅仅从这一点上,可以得出病毒主动对抗反病毒软件已不再停留在删除注册表启动项,关闭进程,进行映像劫持等的表面技术;而是发展到了能够真正与反病毒软件抗衡的水平。因此,针对磁碟机大多数的反病毒软件均已瘫痪。磁碟机的传播手段:感染文件,挂马,移动存储介质;这三种传播方式是当今最为有效的传播方式,特别是网站挂马传播已成为病毒传播的主流。还利用了当今病毒最为成熟的技术:DLL注入(进行文件下载,病毒信息保护等),进程互锁,注册表破坏,加壳技术等。通过以上的分析,磁碟机以其传播之广,技术手段之多,反查杀能力之强已成为现在对用户电脑信息的最大威胁之一。
三、行为分析:
本地行为:
1、 文件运行后会衍生以下文件
%HomeDrive%\NetApi000.sys
4096字节
%HomeDrive%\037589.log
94208字节
%DriveLetter%\AUTORUN.INF
172字节
%DriveLetter%\pagefile.pif
94208字节
%System32%\16768235.log
94208字节
%System32%\dnsq.dll
32256字节
%System32%\Com\lsass.exe
94208字节
%System32%\Com\netcfg.000
16384字节
%System32%\Com\netcfg.dll
16384字节
%System32%\Com\smss.exe
40960字节
2、注册表操作
(1)、修改注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
(2)、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值:字串:" Type "="radio"
原键值:字串:" Type "="checkbox"
描述:使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效
(3)、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
新建键值:字串:" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值:字串:" AppInit_DLLs "= ""
描述:添加病毒启动项
(4)、 删除注册表Run启动目录
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
描述:删除Run项内所有启动项和Run项本身,使写入在Run项下的安全软件无法随机启动
(5)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
(6)、 删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
(7)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
(8)、删除安全模式注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
3、在各个盘符的根目录下释放AUTORUN.INF与其执行文件pagefile.pif,当打开盘符时便会执行病毒体。
4、dnsq.dll插入到EXPLORER.EXE进程和其它相关进程中。Dnsq.dll会对病毒的进程,注册表和文件进行定时检测,当检测到相应位置的信息被删除时,便重新写入病毒信息。
5、开启双进程%System32%\Com\lsass.exe与System32%\Com\smss.exe,进行进程保护。
6、在系统目录释放备份文件037589.log,16768235.log,其中16768235为随机数字;当病毒文件被删除或破坏时,将由备份文件重新生成。
7、在系统根目录下生成驱动文件NetApi000.sys以恢复SSDT,将杀毒软件修改SSDT的部分卸载。该文件当系统启动时加载并删除自身,使杀毒软件无法检测到;当系统关闭时,重新写入系统根目录下。
8、创建互斥体,防止系统中有多个病毒进程在运行。
9、检测带有下列字符的窗体,如检测到则使该窗体失效:
rav
avp
kv
scan
360
firewall
kv
monitor
诊
具
bitdefender
avg
arp
mcafee
金山
升级
antivir
费尔
木
微点
防
墙
扫描
……
10、使用系统的cacls命令和API函数LookupPrivilegeValue(提升至SeDebugPrivilege权限)进行权限提升。
11、lsass.exe进行键盘记录。
12、拷贝自身到“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下,重命名为 “ ~.exe.(随机8位数字).exe ”;达到电脑重启时运行的目的。
13、对exe;rar、zip;js等类型文件进行感染。
网络行为:
1、后台开启IE下载:
w.c0mo.com/r.htm www.kankev.com/sp/cd/newsso/QQimages/style.cssjs.k0102.com/install.exe
……
下载文件运行后的衍生文件:%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll
2、弹出网页:
http://www.kankev.com/sp/cd/newsso/qq.html?username=hh88&zhaosp=qq
http://www.163sinasohutom21cnvnetbaigoogdule.com.cn/submit1.php?aid=10931
说明:通过假QQ靓号与通过答题获取QQ币的钓鱼页面来骗取用户手机充值。
3、lsass.exe:连接网络jj.gxgxy.net/html/qb2.html (125.65.165.133)下载病毒信息。
注释:
%Windir%
WINDODWS所在目录
%DriveLetter%
逻辑驱动器根目录
%ProgramFiles%
系统程序默认安装目录
%HomeDrive%
当前启动系统所在分区
%Documents and Settings%
当前用户文档根目录
%Temp%
当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%
是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
3、下载安天AVLPK终级专杀工具进行查杀。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
使用ATool挂起病毒进程:%System32%\Com\lsass.exe与%System32%\Com\smss.exe
在进程中同时强行卸载%System32%\dnsq.dll
(2) dnsq.dll卸载完成后强行删除病毒文件
%HomeDrive%\037589.log
94208字节
%DriveLetter%\AUTORUN.INF
172字节
%DriveLetter%\pagefile.pif
94208字节
%System32%\16768235.log
94208字节
%System32%\dnsq.dll
32256字节
%System32%\Com\lsass.exe
94208字节
%System32%\Com\netcfg.000
16384字节
%System32%\Com\netcfg.dll
16384字节
%System32%\Com\smss.exe
40960字节
删除相关下载运行文件:
%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值:字串:" Type "="radio"
原键值:字串:" Type "="checkbox"
描述:使 <文件夹选项(O)…> “查看”标签下的“显示所有文件与文件夹”失效
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
新建键值:字串:" AppInit_DLLs "= "C:\WINDOWS\system32\dnsq.dll"
原键值:字串:" AppInit_DLLs "= ""
描述:添加病毒启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
描述:删除Run项内所有启动项和Run项本身,使写入在Run项下的安全软件无法随机启动
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,使重起后无法从安全模式进入
(4)删除“%Documents and Settings\All Users\「开始」菜单\程序\启动”目录下的 ~.exe.(随机8位数字).exe 病毒文件。
(5) 同时结速两个挂起的病毒进程
(6)保存其它必要的文档信息等。
(7)不用正常关机,因为在关机时病毒会把自身重新写入磁盘和注册表中,采用直接拔下电源方式,然后重启。
Powered by Discuz! 6.0.0 © 2001-2007 Comsenz Inc.
