磁碟机变种简单分析
这东西接近无敌了:
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等
哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因,可能分析的不准确。 :)
病毒是否已加载在内存中。
1、检查互斥体"xcgucvnzn",判断如存在,则退出,防止多个病毒体被执行。
2、创建文件:
C:\037589.log 93696 字节
C:\lsass.exe.1771547.exe 93696 字节
C:\WINDOWS\system32\Com\lsass.exe 93696 字节
C:\WINDOWS\system32\Com\smss.exe 40960 字节
C:\WINDOWS\system32\Com\netcfg.000 16384 字节
C:\WINDOWS\system32\Com\netcfg.dll 16384 字节
C:\WINDOWS\system32\1878253.log 93696 字节(随机)
C:\WINDOWS\system32\dnsq.dll 32256 字节
3、删除组策略限制的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
4、删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
5、破坏安全模式,删除:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
6、防止病毒体被重定向,删除:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
(禁止写入)
7、释放驱动C:\NetApi000.sys(\Device\NetApi000)恢复SSDT Hook。
最后删除自身。导致HIps和主动防御失效。
8、修改注册表,开启自动播放:
NoDriveTypeAutoRun DWORD: 145
9、删除服务项(如果有):
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService
10、调用cacls.exe,设置\system32\com 和病毒文件的权限为Everyone:F。
11、\system32\com下启动smss.exe和lsass.exe,使用进程守护。
当一方被结束时,另一个则将其重新启动。
12、C:\windows\system32\dnsq.dll安装全局钩子,注入所有运行中的进程。
13、发送垃圾消息到如下窗口,导致程序无法正常响应,处于假死状态:
avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
诊
具
SREng 介绍
升级
微点
防
云
墙
kv
木
狙剑
金山
瑞星
..........
14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。
15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。
16、查找网页格式文件,加入一段框架:
http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70
解密得:http://js.k0102.com/01.asp