最新分析越來越變態的磁碟機病毒(VcingT)

Worm.VcingT.w.102400分析報告

病毒名稱：Worm.VcingT.w.102400

中文名稱：磁碟機變種

病毒長度：36864

威脅級別：2

病毒類型：Trojan

病毒簡介：

這是一個下載者病毒，會關閉一些安全工具和殺毒軟體並阻止其運行運行，並會不斷檢測窗口來關閉一些殺毒軟體及安全輔助工具，破壞安全模式，刪除一些殺毒軟體和實時監控的服務，遠程注入到其它進程來啟動被結束進程的病毒，反覆寫註冊表來破壞系統安全模式，病毒會在每個分區下釋放 AUTORUN.INF 來達到自運行。

病毒功能：

一、病毒通過修改系統默認加載的DLL 列表項來實現DLL 注入，並在注入後設置全局鉤子.通過遠程進程注入，並檢測是否有相應安全軟體和管理工具。通過枚舉進程名，通過搜索以下關鍵字來關閉進程：

Rav avp   twister   kv   watch   kissvc scan     guard

找到帶有關鍵字的窗口後，就往目標窗口發送大量的垃圾消息，是其無法處理而進入假死的狀態，當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。

病毒關閉殺毒軟體的方法沒有什麼創新，但關鍵字變的更短，使一些名字相近的進程或窗口也被關閉。

二、修改註冊表破壞文件夾選項的隱藏屬性修改，使隱藏的文件無法被顯示。

三、刪除註冊表裡關於安全模式設置的值，使安全模式被破壞。

病毒會反覆改寫註冊表，在病毒被徹底清除之前，使清理專家和AV 終結者專殺等修復安全模式的工具失效。

四、在C: 盤目錄下釋放一個 NetApi00.sys 的驅動文件，通過該驅動隱藏和保護自身。

五、令軟體限制策略失效

刪除註冊表 HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer 鍵及其子鍵，使用戶設定組策略中的軟體限制策略的設置失效。顯然該病毒作者是根據部分技術型網友的清除方法作了改進，因為此前有網友建議配置軟體限制策略 令磁碟機病毒無法運行。

六、不斷刪除註冊表的關鍵鍵值，來破壞安全模式和殺毒軟體和主動防禦的服務，使很多主動防禦軟體和實時監控無法再被開啟。

七、病毒在每個硬碟分區和可移動硬碟的根目錄下釋放autorun.inf和pagefile.pif兩個文件，來達到自運行的目的。並以獨佔方式打開這兩個文件，使其無法被直接刪除、訪問和拷貝。

八、病毒為了不讓一些安全工具自啟動，把註冊表的整個RUN項及其子鍵全部刪除，並且刪除全部的映像劫持項(意圖不明，大概是為了防止一些利用映像劫持的病毒免疫)。

九、病毒釋放以下文件：

%SystemRoot%/system32/Com/smss.exe%SystemRoot%/system32/Com/netcfg.000%SystemRoot%/system32/Com/netcfg.dll%SystemRoot%/system32/Com/lsass.exe

然後運行SMSS.EXE 和 LSASS.EXE，進程中會出現多個smss.exe和LSASS.EXE，和系統正常進程同步，以迷惑管理員查看進程。

十、 病毒通過重啟重命名方式加載，位於註冊表HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/ BackupRestore/KeysNotToRestore下的Pending Rename Operations字串。

病毒通過修改註冊表的來把C:/ 下的0357589.log 文件(0357589是一些不固定的數字 ) 改名到「啟動」文件夾下的~.exe.664406.exe (664406 也不固定)。

重啟重命名的執行優先級比傳統的自啟動(一般指HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run)要高，啟動完成後又將自己刪除或改名回去。這種方式自啟動極為隱蔽，現有的安全工具都無法檢測的出來。AV終結者專殺無法徹底清除這個磁碟機變種，正是因為這個原因！

十一、 病毒會自動下載最新版本和其它的一些病毒木馬到本地運行

十二、 病毒會感染除SYSTEM32 目錄外其它目錄下的所有可執行文件。

並且會感染壓縮包內的文件，若機器安裝了WinRAR會調用其中rar.exe釋放到臨時文件夾，感染壓縮包內文件再打包。

這個病毒太有創意了，這個東西可是被很多人忽視的。原來安全的WinRAR壓縮包，病毒解壓感染過再打包。

感染途徑：

1. 可移動硬碟的自運行

2. 其它下載者病毒或受感染帶毒文件

3. 惡意網站下載

4. 內網ARP攻擊

手動清除：

首先把HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager下的PendingFileRenameOperations 值刪除掉，讓它的重啟重命名失效！(懷疑這一招病毒會很快令其失效，就和前面一樣，隔段時間重複檢查和刪除這個鍵值。)

然後再把機子斷電，或異常重啟(總之不能正常關機！)。

啥，你不清楚怎麼搞？直接拔電源線就是了。因為該病毒新變種在關機的時候往啟動項寫病毒，開機的時候自殺，導致一般殺毒軟體查不到，但非法關機可以使它關機的時候生不成病毒。

重啟後，先別打開盤符，(用好資源管理器，別習慣雙擊打開盤符)在 CMD 命令行下將各個分區下的 autorun.inf 和 pagefile.pif 文件刪除。然後使用專殺或殺毒軟體全盤掃瞄病毒，因為該病毒可以感染除system32目錄外的其它EXE程序，導致該病毒很難用手工方法徹底刪除，建議升級殺毒軟體後進行全盤殺毒。

金山毒霸版本磁碟機專殺工具下載鏈接：

http://bbs.security.ccidnet.com/read.php?tid=582606

該工具可同時清除磁碟機、機器狗和AV終結者。

如果各位發現自己的電腦符合磁碟機病毒感染的特徵，使用磁碟機專殺也沒能解決這個問題，請及時在病毒求助專區(http://bbs.security.ccidnet.com/thread.php?fid=87)發貼求助，以便我們及時跟進，發貼請在主題中加注「【求助】【磁碟機】」字樣。多謝合作！

(