“磁碟机”肆虐危害超过“熊猫烧香”

govyvy

“磁碟机”肆虐危害超过“熊猫烧香”

来自：MACD论坛(bbs.macd.cn) 作者：govyvy 浏览：1813 回复：7

转红网

红网3月22日讯（潇湘晨报记者 李伟）近期，一个名为“磁碟机（Worm.Win32.Diskgen）”的病毒正在网上肆虐，其危险程度已超过2006年底到2007年初爆发的“熊猫烧香”病毒。
　　
　　为此，瑞星、江民等国内主流杀毒软件厂商昨日已紧急推出专杀工具。 昨日，瑞星还发布了今年第一个红色（级）安全警报，将“磁碟机”病毒的传播列入重大信息安全威胁。
　　
　　根据监测和技术分析，安全专家认为，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。
　　
　　“磁碟机”病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。而且，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。
　　
　　中毒电脑出现的主要症状是：某些杀毒软件和安全软件无法运行，被强行关闭，或者打开后有被“分尸”的现象；安全模式被破坏。用户试图进入安全模式时，显示的是屏，这是由于病毒删除了与安全模式相关的注册表键导致的；无法正常显示隐藏文件，且“工具－文件夹”选项下的“隐藏受保护的操作系统文件”一项被破坏；打开任务管理器，会发现两个lsass.exe和smss.exe进程；使用Winrar可以发现如下病毒文件：%systemroot%\system32\com\lsass.exe、%systemroot%\system32\com\smss.exe、%systemroot%\system32\com\netcfg.dll、%systemroot%\system32\com\netcfg.000。
　　
　　针对目前严峻的安全形势，瑞星向所有受害网民派发瑞星杀毒软件2008版，用户可以登陆瑞星官方网站（www.rising.com.cn)下载，并免费使用一个月。江民磁碟机专杀和修复工具下载地址：http://dl.jiangmin.com/download/zhuansha.htm。
[稿源：红网综合]
[作者：李伟]
[编辑：刘松杨]

govyvy

其实这玩意早就知道鸟～偷懒鸟～:*26*: :*26*:

kcgt

不断升级提高技术的病毒总会是没完没了的
没有它们杀毒软件就不那么好卖了

淡淡体味

【转贴】新一代的毒王——磁碟机全面解析
磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒的行为，也仅仅局限于，在系统目录%system%\system32\com\生成lsass.exe和smss.exe，感染用户电脑上的exe文件。
　　 病毒在此时的传播量和处理的技术难度都不大。
　　 然而在病毒作者经过长达一年的辛勤工作--数据表明，病毒作者几乎每两天就会更新一次病毒--之后，并吸取了其他病毒的特点（例如臭名昭着的AV终结者，攻击破坏安全软件和检测工具），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。点击下载专杀工具
　　传播性
　　1）在网站上挂马，在用户访问一些不安全的网站时，就会被植入病毒。这也是早期磁碟机最主要的传播方式；
　　2）通过U盘等移动存储的Autorun传播，染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
　　3）局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。
　　隐蔽性
　　1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的。
　　2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C：\下的XXXX.log文件（XXXX是一些不固定的数字），改名到"启动"文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。
　　针对性
　　1）关闭安全软件，病毒设置全局钩子，根据关键字关闭杀毒软件和诊断工具
　　关键字举例：360safe、Escan、瑞、金山、防、SREng、升、木、KV、 诊、工具、ARP、微点、Firewall、扫描、Mcagent、Metapad ……
　　另外，病毒还能枚举当前进程名，根据关键字Rav、avp、kv、kissvc、scan…来结束进程。
　　2）破坏文件的显示方式，病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能
　　3）破坏安全模式，病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表。
　　4）破坏杀毒软件的自保护，病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹。
　　5）破坏安全策略，病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。
　　6）自动运行，病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除。
　　7）阻止其他安全软件随机启动，病毒删除注册表整个RUN项和子键。
　　8）阻止使用映像劫持方法禁止病毒运行，病毒删除注册表整个Image File Execution Options项和子键。
　　9）病毒自保护，病毒释放以下文件：
　　%Systemroot%\system32\Com\smss.exe
　　%Systemroot%\system32\Com\netcfg.000
　　%Systemroot%\system32\Com\netcfg.dll
　　%Systemroot%\system32\Com\lsass.exe
　　随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。
　　10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。
　　危害性
　　1）病毒会自动下载自己的最新版本，和其他一些木马到本地运行
　　2）病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳。
　　3）盗取用户虚拟资产和其他有用信息
　　用户环境的表现
　　1）杀毒软件和安全工具无法运行
　　2）进入安全模式蓝屏
　　3）由于Exe文件被感染，重装系统无效
　　4）用户信息丢失，甚至有些程序无法使用

wghyt

病毒也实现跨越式发展

guyou888

（如图，“磁碟机”病毒一运行，即被瑞星“智能主动防御”的“恶意行为检测”技术拦截）

    瑞星反病毒专家表示，“磁碟机”病毒来势凶猛，染毒症状比较容易辨认：杀毒软件被关闭，屏幕右下方的监控状态图标改变；中毒计算机无法进入安全模式；系统文件被强行设置为隐藏状态。如果出现上述现象，则您的电脑可能已被“磁碟机”病毒感染，请下载安装瑞星杀毒软件2008（免费一个月），对中毒电脑进行彻底查杀。
    瑞星杀毒软件用户升级到最新版本（20.36.32版以上），即可全面防御、查杀该病毒。
    “磁碟机”病毒技术分析概要
    该病毒使用了rootkits技术，可以从系统底层卸载杀毒软件的钩子，同时会释放自己的驱动，这样就会使杀毒软件的监控失效，无法查杀病毒。同时，病毒还会频繁查找杀毒软件的程序窗口，强行将其关闭。那些没有使用智能主动防御技术的杀毒软件，很容易被此病毒破坏无法运行。
    病毒运行后，会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。这样，杀毒软件的很多功能将无法使用，如文件监控、注册表监控等。同时，病毒会在系统里释放smss.exe等病毒文件，实现进程保护，使杀毒软件很难彻底查杀。
    除了关闭杀毒软件之外，磁碟机病毒还会从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒，试图窃取用户的网游账号装备、网银密码等私密信息。

guyou888

不少人问这个问题。现就中“磁碟机”后的主要（并非全部）症状罗列如下。供参考。
另：如果哪位发现新变种的新症状，请跟贴写出来。

症状1、系统安装在C盘的，用WINRAR可以看到磁碟机病毒释放的文件（目前为止，磁碟机病毒主体文件名及其路径是固定的）：
C:\037589.log
C:\windows\system32\205016.log（这个.log文件名的数字部分可能有变化）
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll（动态插入应用程序进程）
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\～.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\～.exe
各分区根目录下还会有：
autorun.inf和pagefile.pif

症状2、感染磁碟机后，IceSword、SRENG等常用工具不能正常运行。

菠派

:*10*: :*10*: :*10*: